網路發達的現況，各種駭客軟體、惡意程式其攻擊的手法及技術日新月異，加密勒索病毒及各類網路攻擊事件頻傳，顯示資訊系統無法完全避免來自任何第三方的目標式網路攻擊，網路攻擊可能透過釣魚郵件、軟體漏洞、暴力破解等方式，將惡意程式植入公司內部網路進行破壞或資料竊取。本公司針對資訊安全風險，規劃制定相關之政策、組織、程序，以降低公司營運之風險。

(1) 專責單位：本公司資訊安全之權責單位為資訊工程處，設置資安暨系統工程部，主管一名及專業資訊工程師數名，負責規劃、執行及推動資訊安全管理事項，並推展資訊安全意識。
(2) 監理單位：本公司資訊安全監理之內部稽核由稽核室擔任，外部稽核由會計師查核，透過內、外部稽核之定期查核，並追蹤改善成效，以降低資安風險。
(3) 管理單位：基於資訊安全的重要性，制定相關資安政策及相關標準程序，管理單位每月定期向總經理提出書面報告，呈報上月資訊安全治理與執行狀況。
 

• 全面提升資安意識，建立資訊安全環境，以保護公司智慧財產及保障公司利益、各單位資訊系統之永續運作。
• 確保公司營業秘密及營運資訊之機密性、完整性與可用性，提高作業效能與品質。
• 公司持續投入大量資源於先進技術之研究發展，為公司維持競爭力之重要關鍵，面對日趨危險之網路環境，保護機密資訊安全為公司所有員工之共同責任。
• 公司成立資訊安全推動小組，以期透過跨部門整合，全面提升資訊安全之共識及措施。

 

• 本公司為確保公司攸關營業秘密等機密資料具安全性，制定相關之資訊安全相關管理辦法，如資訊安全管理規定、密碼原則、郵件使用規範、備份管理規範、系統復原計畫、軟體管理辦法，並持續加強檢測、評估網路與系統架構，提升及強化安全防護的軟硬體系統。此外，於公司內部設置資安宣導專區，透過定期宣導及不定期公告方式，建立員工正確的資安觀念及行為，提升公司整體的資安防禦能力，進而降低資安風險，達到企業能持續營運的目標。
• 為確保無法預期之重大災難，研擬重大資安應變管理機制及異地備援計畫，已於2022年第四季提案，預計2023年完成重大資安應變管理機制及異地備援之建置。

 

• 本公司採取多層防火牆阻隔的資安防護，限制外部存取，降低公司資訊系統暴露於對外網路之風險，並透過內外網建置，隔絕公司重要資訊環境。
• 透過建置防火牆、郵件過濾系統、木馬及病毒偵測機制、端點主動防護系統、多因素認證等機制進行阻絕，內部除進行定期弱點掃描並修補程式漏洞外，並透過合規檢核軟體，追蹤管理內部資訊設備，確保公司設備不受攻擊。
• 於資料安全方面，根據管理辦法針對重要系統及資料定期進行本地備份與異地備份，確保資料被加密及降低資料損壞之風險，以維護公司重要資訊之環境，降低公司對外網路遭入侵之風險。並透過防護內部資料外洩與收集存取記錄之機制，搭配經驗法則歸納出可疑的行為，即時分析通報，阻絕資料外流於第一時間，確保公司之持續營運。

  本公司相當重視機密資訊的保護，除依循相關管理程序妥善管控營業秘密與機密資料外，更落實員工教育訓練，以確保利害關係人的利益。針對公司、客戶和供應商間機密資料之管理，除資訊安全之相關管理規範外，同時制定：

1. 人員管理規範：包含員工入職及離職時所需負擔之保密義務、設置嚴格的門禁管制。
2. 與往來客戶和供應商簽訂保密協議(合約、聲明書)，並確實遵守保密規定。
3. 所有產品開發均依循產品開發流程，並輔以內部「產品開發管理系統」之運行，各階段角色人員具不同權限，可同時兼顧產品開發流程之嚴謹度以及專案資訊之安全性。
4. 針對客戶特別要求之極機密專案，已制定客戶機密資訊資產管制作業規範，並設置專屬管制區，人員、資訊設備、資訊檔案完全隔離，管制區內所有資訊檔案再設置加密區，確保客戶之專案資訊無外流之風險。

 

• 2022年本公司並未接獲相關客戶隱私侵犯之投訴，亦無機密資訊外流之資安事件。

  為實踐資通安全政策之原則，投入之資源如下：

• 硬體設備：防火牆、郵件防毒、垃圾郵件過濾、上網行為分析及入侵防護等。
• 軟體系統：端點防護系統、備份管理軟體、檔案稽核、多因素認證、特權管理、合規安全及資料外洩防護。
• 電信端服務：多重備援線路、分散式阻斷攻擊防護等。
• 定期執行：每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每季至少兩次資安宣導、每年系統災難復原執行演練、每年對資訊循環之內部及外部稽核等。
• 資安人力：資安主管一名及資安人員數名，負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂，資安主管每月向總經理報告資安狀況。

 

• 為確保資安政策之方向及適宜性，本公司設有資安專責單位，負責制定資安政策及目標、執行資訊作業安全管理規劃並定期檢討資安政策，本公司每年定期將資訊安全管理及執行成果向董事會報告，最近年度提報董事會日期為2023年8月8日。
• 為提升員工資安意識，除定期之資安宣導外，規劃自2023年起每季進行無預警之社交工程演練，透過演練結果加以檢討及改善，藉此強化各單位及員工之資安意識。
• 本公司落實資安管理，2023年度資訊安全措施推動執行成效如下：