一、資訊安全專責組織

本公司為強化企業永續發展及資訊安全治理，已於2023年11月8日召開之董事會中通過，設置資訊安全部門，並由資訊安全主管於2025年1月16日向董事會報告資安治理現況，包含重大資安議題、防護措施執行成效及未來規劃等。透過定期的董事會監督機制，確保公司資安政策能與時俱進，有效因應各類新興資安威脅。

二、資通安全管理政策

本公司的資通安全政策以「遵循資安法令、營運持續運作、定期資安宣導、落實資訊安全」作為指導準則，依循NIST網路安全框架（CSF）的五大構面，規劃以資訊安全、網路安全、隱私保護為核心，確保機密性、完整性、可用性的資安防護體系。在資訊安全管理制度方面，目前已取得ISO 27001:2013國際資訊安全標準，依規劃將於2025年完成ISO 27001:2022認證升版。

三、2025年資安防護架構：

1. 識別（Identify）

• 持續參與TWCERT聯防組織，掌握最新資安威脅情資
• 遵循資訊安全相關法令
• 導入資訊資產自動盤點系統，強化資產的安全管理及合法軟體使用
• 定期進行風險評估，優先防護核心系統
  

2. 保護（Protect）

• 強化機房實體及環境安全（空調、監控、電力備援、消防）
• 持續升級多層次網路防禦機制，強化防火牆防護、端點防護
• 持續升級郵件威脅防護(SPAM/APT)，預防社交滲透攻擊
• 定期執行資安宣導及教育訓練
• 落實系統自動更新及漏洞修補
• 確保供應廠商遵循資安保密規範
  

3. 偵測（Detect）

• 部署EDR端點偵測及回應機制
• 定期執行核心系統弱點掃描及滲透測試
• 導入電腦使用安全合規自動稽核
• 導入網路異常行為監控機制
• 定期執行社交滲透攻擊演練
  

4. 回應（Respond）

• 建立資安事件通報及處理流程
• 即時發布資安警訊
• 落實資安事件追蹤改善
  

5. 復原（Recover）

• 建立業務持續運作計畫
• 定期執行備援及還原演練
• 制定重要系統復原程序
• 持續優化應變能力

透過ISO標準的落實，我們將持續提升企業資安韌性，為永續經營奠定堅實基礎。

四、2024年度執行成果量化資訊

1. 資安治理投入

• 資安人員：3人（資安主管、工程師、顧問各1人）
• 資安會議：12次
• 資安宣導：7次
  
  

2. 防護作為執行

• 核心系統弱點掃描：2次
• 重要網站弱點掃描：3次
• 重要系統還原演練：2次
• 第三方社交滲透攻擊演練：2次
  
  

3. 資安防護成效

• 全員防滲透教育訓練完訓率：100%
• 全員防毒軟體安裝率：100%
• 新進人員資安教育訓練：100%