3.4 資訊安全

▉ 資訊安全組織

▉ 資訊安全組織職掌與管理措施

為強化公司治理並應對日益嚴峻的資安挑戰,本公司已建立全面的資訊安全管理架構,以確保營運持續性並降低潛在風險。

  • 治理架構與權責


本公司於2022年3月8日正式通過公司治理主管的編制,並成立了「公司治理暨ESG永續發展委員會」。在此委員會的風險管理小組之下,設立了「資訊安全管理小組」,由資訊主管擔任召集人,全權負責統籌資訊安全相關政策的制定、執行、風險評估及遵循度查核。為確保最高管理層的監督,公司治理主管每年會將資訊安全的管理成效、重大議題及未來發展方向,向審計委員會及董事會進行專案彙報。

  • 組織與資源投入


資訊安全的日常維運與執行工作,由總公司及所有海外子公司的資訊部門成員共同分擔。公司承諾投入充足資源,每年皆會根據最新的資安威脅情勢與防護需求,編列專門預算,以確保防護措施的與時俱進。

  • 政策目標與實踐


本公司的資訊安全政策核心目標在於確保核心資訊系統與數位資產的機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)。我們致力於防範任何資通安全事件對公司營運造成衝擊,從而將營運風險降至最低。為落實此目標,台灣總部與海外子公司的資訊單位會定期召開會議,共同檢視現行資安政策的適用性,並評估各項保護措施的成效,進行持續性的改善。

  • 風險評估與因應措施


本公司已建置了涵蓋網路、系統與端點的全面資安防護措施。然而,我們認知到,沒有任何系統能百分之百免於所有威脅。儘管現有控管機制旨在保護製造、營運及會計等核心企業功能,但仍無法完全保證能抵禦來自第三方任何形式的癱瘓性網路攻擊。對此,本公司採取積極的因應策略,透過持續性的內部檢視與外部評估,不斷審視現有資訊安全防護機制的妥適性與有效性,以動態調整防禦策略,盡最大努力確保企業營運的安全與穩定。同時,本公司亦訂立資安事件通報標準流程,若發生資安事件將由資訊安全管理小組擔任通報窗口,且需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行檢討與分析並提出改正措施,以預防事件重複發生。

▉ 資訊安全管理政策

為確保本組織資訊資產之機密性、完整性與可用性,並保障業務永續運作,特制訂本資訊安全管理政策,作為全體人員遵循之圭臬。本政策旨在建立一個全面、主動且持續改進的資訊安全管理系統(ISMS),以有效應對內外部資安威脅與挑戰。

▉ 2025年度投入資通安全管理之資源及執行成果

  • 資安工作組織:本公司設置資安專責主管 1 名及資安專責人員 1 名,負責資訊安全之規劃、執行與日常維運管理,統籌公司整體資安治理作業。資安專責單位每半年定期向董事會報告資訊安全執行情形與風險管理現況,將資安議題納入公司治理層級監督。最近兩次報告已分別2025/8/5及2025/12/23提報董事會。
  • 資安工作組織
  • 投入硬體:如防火牆、交換機、UPS、伺服器、多重線路、VPN設備、NAS等。
  • 投入軟體:如防毒軟體、垃圾郵件過濾、備份軟體、伺服器虛擬化軟體等。
  • 資安政策
    • 依循 ISO 27001精神訂定資通安全管理辦法並施行之。
    • 每年定期辦理資產價值評估以鑑別公司核心資通系統。
    • 每年定期辦理資訊風險評估以確立風險範圍,並制定風險改善計劃改善之。
    • 依資產價值及風險修訂備份與備援管理機制,以降低資安風險對營運之衝擊。
    • 每年定期辦理災難復原演練,以確保備份/備援架構之完整性與有效性。
    • 加入TWCERT資安聯防組織,建立情資分享與通報程序。
  • 資通安全架構強化執行項目
    • 2025年1月 DNS維持第三方服務代管政策,避免DDoS癱瘓或是劫持等惡意攻擊。
    • 2025年4月完成總公司資通資產設備盤點與風險複評。
    • 2025年4月完成子公司資通設備盤點、風險評估與備份計劃。
    • 2025年6月完成子公司資訊設備備份計劃。
    • 2025年9月完成網路基礎設備汰換,包含防火牆、交換機、無線基地台等共15台設備,並重新制定防火牆存取原則。
    • 2025年10月完成網段分割作業。
    • 2025年11月完成子公司第一次災難演練。
    • 2025年11月啟動伺服器網段搬遷計劃。
    • 2025年12月完成主要伺服器網段搬遷。
  • 教育訓練
    • 2025年2月完成資安意識必備知識課程2小時,參與課程人數共2員資安人員。
    • 2025年3月完成資安事件說明及預防措施課程2小時,參與課程人數共2員資安人員。
    • 2025年3月完成上市上櫃公司資通安全管控指引說明課程2小時,參與課程人數共2員資安人員。
    • 2025年12月完成生成式AI的資安風險課程1.5小時,參與課程人數共 52人。
    • 2025年12月完成個資保護及資訊安全教育訓練課程1小時,參與課程人數共 52人. 
    • 2025年12月完成社交工程釣魚信演練課程0.5小時,參與課程人數共 52人。
  • 其他投入資源
    • 每日常態系統狀態巡檢
    • 每週定期檢查備份計劃之執行狀況
    • 每月定期伺服器設備健檢
    • 每季定期不斷電系統設備檢查
    • 資訊循環內部稽核
    • 會計師稽核

* 本公司已於 2024 年 11 月 05 日董事會報告修訂資通安全管理政策與程序及資訊安全管理現況及執行情形。

企業永續