2024年資通安全管理

資通安全管理：

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等

(1) 資訊安全風險管理架構

1. 本公司成立跨部門資訊安全委員會由總經理擔任總召集人，副總經理擔任管理代表並兼任資訊安全長及個資保護長。

2. 已制定發行資訊安全管理目標及政策、個人資料管理政策，並定期檢討修訂。

3. 每年召開管理審查會議檢討資訊安全管理制度及個人資料管理制度執行情形。

(2) 資訊安全控管措施

1. 訂定期盤點資訊資產及個人資料清冊，依資訊安全及個人資料風險評鑑進行風險管理，落實各項管控措施。

2. 每年辦理資訊安全及個人資料保護教育訓練及宣導作業，新進人員皆須簽訂資通安全保密協定。

3. 委外廠商須簽定保密協議，以確保使用本公司的提供資訊服務或執行相關資訊業務者，有責任及義務保護其所取得或使用本公司之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。

4. 重要資訊系統或設備已建置適當的備份、備援或監控機制並定期演練，以維持其可用性。

5. 個人電腦均安裝防毒軟體且定期確認病毒碼之更新，並禁止使用未經授權的軟體。

6. 要求同仁帳號、密碼與權限應善盡保管與使用責任並定期換置密碼。

7. 已制定資訊安全事件的回應及通報標準程序，由資訊安全緊急應變小組負責資訊安全事件處置，以適當對資訊安全事件做即時處理，避免損害擴大。

8. 建立業務持續運作管理機制，並定期測試演練，維持其適用性。

9. 每年定期實施內部稽核，以確保資訊安全、個資保護管理制度之有效性。

(3) 資安風險管理與檢討

1. 本公司已於2025年1月通過第三方公正單位ISO/IEC 27001:2022、ISO/IEC 27701:2019年度審查以及ISO/IEC 27017:2015、ISO/IEC 27018:2019之稽核驗證。

2. 透過ISO/IEC 27001、ISO/IEC 27017導入，強化資訊安全事件之應變處理能力，保護公司與客戶資訊資產之安全。

3. 透過ISO/IEC 27701、ISO/IEC 27018導入，了解公司保管之個人資料可能面臨之風險，遵循各國個資保護法規之要求，以保護公司與客戶個人資料之安全。

4. 將資訊安全及個資保護檢查控制作業，列為年度稽核項目，稽核單位每年度至少進行一次稽核；且公司每年度依據內部控制制度自行檢查作業，將總結內部控制實施成效提報董事會覆核確認，並依據評估的結果出具內部控制制度聲明書。

(4) 投入資通安全管理之資源

1. 認證：通過ISO/IEC 27001資訊安全及ISO/IEC 27701個資保護第三方審查，相關資安、個資保護稽核無缺失。

2. 基於雲端安全發展趨勢，保障產品資訊安全與客戶資料保護，2024年擴大ISO/IEC 27001驗證範圍，並通過ISO/IEC 27017(雲服務資訊安全)、ISO/IEC 27018(雲服務個資保護)等稽核驗證。

3. 客戶滿意度：全年無重大資安事件，無違反客戶資料遺失之投訴案件。

4. 教育訓練：所有新進員工到職前皆完成資訊安全教育訓練課程；辦理6場次員工資安、個資保護教育訓練及考核；年度共計執行二次社交工程釣魚郵件測試。

5. 資料防洩漏(DLP)：導入資料防洩漏(DLP)機制，機密等級以上檔案系統自動加密，保障公司智慧財產安全。

6. 每月定期召開資安小組會議，檢討與資訊安全、個資保護以及營業秘密有關議題，年底召開管理審查會議，報告全年度資安管理、個資保護工作之成果與指標評估。

7. 考量公司資安管理機制及措施應可滿足公司營運，並充分展現對於資安、個資保護合規作為，故公司決議暫無須投保資安險，未來將視內外部整體資安、個資保護發展狀況再行決定是否投保。

（二）最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施：無此情形。