為確保公司暨資訊安全有關資料、資訊系統、設備及網路之安全,本公司由資訊部門最高主管擔任負責人,於2022年度設置資安主管及資安人員各一位,共同負責審視集團含各子公司資安治理政策,監督其運作情形,特訂定「資訊安全政策」,作為公司有關資訊安全管理組織權責分工、人員教育訓練、電腦硬軟體、網路及實體環境管理之準則,並定期向董事會報告資訊安全風險管理執行情形。
2024年度執行資通安全作業成效如下,總共投入NTD 339萬於提升資安檢測、環境防護等工作。
項目
|
作業說明
|
資通安全宣導
|
內部資安宣導 共12 次
|
災難復原演練
|
1.每季資料備份,並進行異地備份
2.内部稽核及災難復原演練(2次/年)
|
資通安全訓練
|
1.員工年度資訊安全線上教育訓練課程員工完訓率100%,共 439 人次,重要內容包括
2.舉辦社交工程演練,強化員工對於釣魚信件的資安意識
|
新進員工教育訓練
|
完成率100% (2024年新進人員)
|
弱點掃描檢測
|
2024年度共安排2次, 伺服器弱點掃描檢測,完成漏洞修補,檢測系統弱點。防止駭客利用這些弱點入侵及竊取資料。
|
資安認證
|
2024年12月取得 ISO 27001 認證
|
資安政策
|
1.NB透過VPN政策進行上網行為管控,以保護機敏資料不外流
2.端點防護系統(XDR);安裝於公司重系統及NB,藉由資安分析來提供更快的威脅偵測,提升調查與回應時間
3.官網加強WAF(Web Application Firewall),阻擋威脅、惡意程式攻擊等功能強化官網的安全性
|
教育訓練
|
2024年總教育訓練時數達214小時 |
資通安全檢查之稽核 |
稽核室已每年針對資訊安全進行查核出具稽核報告 |
內控制度及資安相關辦法 |
1.公司內部控制制度已訂定個人資料保護之管理及電腦資訊之管理控制作業
2.本年度完成ISO 27001資安相關辧法39份及操作表單共58份
|
|
註: 本公司於2024年12月取得 ISO 27001:2022 認證
