資通安全管理之資訊揭露

一、資通安全管理策略與架構​

本公司在2025年成立「資通安全管理委員會」負責執行資通作業安全管理規劃，並協調本公司各項資通安全措施之實施，以利資訊安全管理制度能持續穩健運作。

「資通安全管理委員會」

「資訊安全長」負責本公司資通安全重要事項之議決、資源調度，「資通安全管理代表」負責每年定期或視需要召開會議，審查資通安全管理相關事宜，視需要召開跨部門之資源協調會議及負責協調資通安全管理制度執行所需之相關資源分配。

本公司「資通安全委員會」每年至少召開一次資通安全管理審查會議，審查資通安全管理目標執行狀況及有效性評量結果，提出資通安全政策及目標執行之各項改進措施，必要時得召開臨時會議。

本公司「資通安全委員會」組織架構：

​

​

​

​

​

​

二、資通安全政策

本公司為強化資通安全管理，確保本公司資訊資產之機密性、完整性、可用性，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，因此依據國際標準「ISO/IEC 27001:2022」、「公開發行公司建立內部控制制度處理準則」及相關法令與規定，並衡酌本公司之業務需求，訂定資通安全政策。其範圍適用於本公司全體同仁(係指員工、約聘僱人員、工讀生)、委外人員(單位)，以及所有相關資訊資產之安全管理。

資通安全政策目標在於：

確保公司重要業務運作之持續性。

確保公司面臨之資通安全風險已確實辨識、評估、處理。

確保同仁對資通安全之認知、有能力安全執行日常業務。

確保資通安全事件發生時能迅速妥善處理，保障公司、股東及利害關係人之權益。

確保資通安全管理措施符合政策及法令要求。

三、具體管理方案

為達資安政策與目標，建立全面性的資安防護，推行的管理事項及具體管理方案如下：導入ISO27001資訊安全管理系統：

本公司已進行ISO 27001輔導，建立ISMS管理框架， 以提升客戶和利益相關者對資安的信任度、加強資安風險管理、符合法規要求及優化資安業務流程，以控制並降低資訊安全事件所帶來的威脅和衝擊。並規劃在未來取得ISO27001認證，獲得公正第三方對本公司資安系統之肯定。

資通環境設備安全管理：

選擇安全適當地點設立機櫃，安置保護重要資通設備，減少環境(火災、水災、地震等)引發的危險，並管制記錄使用人員。

電力供應設置符合設備規格需求及穩定電源之要件，並定期進行檢測；重要資通設備安置預備電源或使用不斷電系統。核心系統安全管理：

每年進行弱點掃描，強化漏洞修補作業。

透過掃毒軟體檢測、深度學習，防止惡意軟體攻擊，提供全面的安全保護。網路通訊安全管理：

授權專責人員管理網路設備，隨時監測網路狀況。

網路主機關閉非必要服務程式，並即時更新程式版本。資通系統開發安全管理：

強化自行開發資訊系統或現有系統之安全需求。

設定應用系統使用者通行密碼及限制使用權限。

事前審慎評估委外資訊業務之可能潛在安全風險，與廠商簽訂資訊安全協定，並將相關的安全管理責任納入契約條款。

資通系統營運持續管理

制定資通系統、網路通訊維運之營運持續計畫。

定期針對關鍵資通系統/服務執行營運持續演練，以強化企業韌性。資料安全管理：

落實定期備份作業及強化備援回復機制，發生災害時，迅速回復正常作業。

依報廢程序處理設備報廢，報廢儲存媒體設備前詳加檢查，以確保機密敏感性資料及有版權的軟體已被移除。

防範網路使用者以任何儀器設備或軟體工具竊取網路通訊資料。資安教育訓練與宣導

定期對員工辦理資安相關教育訓練課程。

因應資安風險狀況及事件，公告宣導資安相關信息及因應措施。

不定期進行社交工程釣魚郵件測試，以提升資安意識。

四、資通安全風險與因應措施

本公司已建立網路與電腦相關資安防護措施，且已加入「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」會員，以達到縱向與橫向資安聯防，提升整體資安防護能量，但為確保能阻絕來自任何外部第三方惡意駭客以非法方式入侵公司內部網路系統，進行破壞公司營運成果、財務狀況、窺探竊取機密資訊

與個人資料、植入惡意軟體敲詐勒索及其它損及公司商譽及權益等活動，本公司仍將持續檢視和評估資安規章及程序，確保其適當性和有效性，並持續進行下列資通安全相關防護措施，儘可能降低各項可能發生之資安風險所造成之損害，以維持公司正常運作，保障客戶、股東、供應商及員工等重要關係人之權益。

強化網路防火牆與網路控管機制。

強化端點偵測、防護及掃毒機制。

強化資安教育訓練及社交工程演練，強化員工資安意識。

導入自動化防禦系統強化資安維運平台。

委外第三方資安顧問輔導強化資安管理體系。​​

​