> 投資人專區 > 公司治理 > 資訊安全架構、政策及管理方案

資訊安全架構、政策及管理方案

一、資訊安全管理架構：
本公司資訊安全之權責單位為資訊部，該部負責訂定內部資訊安全政策、規劃暨執行資訊安全作業、資訊安全政策推動與落實。
本公司稽核室執行年度稽核計畫，均將資訊安全列入稽核重點，並將結果呈報董事會。
二、資訊安全政策：
為強化資訊管理，確保所屬之資訊資產的機密性、完整性、及可用性，以提供資訊運作所需之環境與架構，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅。
- 1.內部安全管控：監控使用者行為，避免異常行為導致資料外流或作業不慎，造成設備故障…等事件。
- 2.外部安全管控：監控病毒、釣魚、惡意程式感染或駭客攻擊…等事件。
- 3.永續經營管控：預防天災、人禍…等，造成資料損失之風險事件。
三、具體管理方案：
為落實本公司資訊資產之機密性、完整性與可用性，並保障使用者資料隱私，具體管理措施如下：
- 1.限定由本公司允許之資訊設備存取公司資源。
- 2.本公司資訊設備皆須安裝防毒軟體，列入資產管理。
- 3.定期執行資訊系統教育訓練與資訊安全宣導。
- 4.資訊安全設備定期監控，排除內外部資訊安全事件。
- 5.依照職能需求，設定同仁存取權限，由資訊部專人處理。
- 6.外部人員經核准，以VPN加密一次性連線方式，進入系統存取公司資源。
- 7.每日進行系統差異備份，每週進行一次完整備份與異地存放作業。
- 8.每年執行一次系統復原演練。
- 9.合作廠商皆需簽訂保密合約。
- 10.執行資訊安全風險評估機制，提昇資訊安全管理之有效性與即時性。
四、資訊安全投入情形：
為因應日益嚴峻的網路威脅與資安風險，本公司持續加大資安技術與管理資源投入，2025 年度具體執行與量化成效如下：
- 1.管理審查與監督：
  - ● 本公司於 2025 年定期召開 1 次資訊安全管理審查會議，由資安主管向經營階層報告資安政策執行進度與風險評估結果。
  - ● 稽核室完成年度資安專案稽核 1 次，並將查核結果呈報董事會。
- 2.教育訓練與意識提升：
  - ● 本公司 2025 年度針對全體同仁辦理資安教育訓練共 6 場次。
  - ● 全體受訓總時數累計達 6 小時，同仁參與率達 100%，有效強化員工對釣魚郵件與資安威脅的防範意識。
  - ● 資安人員於2025年參與資安訓練，總時數累計達35小時。
- 3.技術防護與設備升級：
  - ● 網路邊界防禦：導入電信等級防禦系統，具備即時監控能力，可有效阻擋 DDoS 攻擊與惡意連線。
  - ● 郵件安全強化：升級郵件掃描與來源驗證系統，攔阻惡意附件與詐騙郵件。
  - ● 設備全面更新：2025 年全面完成「新世代網路安全設備 (NGFW)」之汰換與升級，整合防火牆與流量控管，提升整體防禦層級。
- 4.專業人力投入：
  - 配置專責資安主管 1 名及資安人員 1 名，負責政策推動與即時監控，確保營運穩定與資訊資產安全。