資通安全管理

本公司之台灣分公司於2025年取得SGS ISO/IEC 27001:2022版證書,有效日期為2025/2/23~2028/2/23.

一、 資通安全風險管理架構

1. 本公司資訊安全之權責單位為行政部，並設置資安主管乙名及資安人員乙名，負責訂定公司資訊安全政策，規劃資訊安全措施，並執行相關之資訊安全作業，並定期向董事會報告公司資安治理概況，近期報告日期為113年12月25日。
2. 本公司稽核室為資訊安全監理之督導單位，該室設置稽核主管與專職稽核人員，負責督導內部資安執行狀況，若查核發現缺失，旋即要求受查單位提出相關改善計畫並呈報董事會，且定期追蹤改善成效，以降低內部資安風險。每年會計師進行資訊作業查核，若發現缺失，會要求改善措施並追蹤改善結果。

二、 資通安全政策

• 強化本公司的資訊安全管理，建立「資訊發展的基礎是安全；安全是資訊作業的保障」之觀念，確保客戶及同仁資料處理之機密性、完整性及可用性，使本公司資料之處理全程均獲安全保障，提供安全穩定及高效率的資訊服務。

三、 具體管理方案

1. 電腦設備安全管理
   1. 本公司電腦主機、各應用伺服器等設備均設置於專用機房，機房門禁採用感應刷卡進出，且保留進出紀錄存查。
   2. 機房內部備有獨立空調，維持電腦設備於適當的溫度環境下運轉；並放置藥劑式滅火器，可適用於一般或電器所引起的火災。
2. 網路安全管理
   1. 強化網路控管，與外界網路連線的入口，配置企業級防火牆，阻擋駭客非法入侵。
   2. 同仁由遠端登入公司內網存取資料，必須申請資料庫VPN 帳號，透過VPN 的安全方式始能登入使用，且均留有使用紀錄可稽查。
3. 病毒防護與管理
   1. 伺服器與同仁終端電腦設備內均安裝有端點防護軟體，病毒碼採自動更新方式，確保能阻擋最新型的病毒，同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
   2. 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者端的PC。
   3. 防病毒系統對於所偵測或攔截到的病毒，除立即予以隔離或刪除外，並主動發出受感染和處於風險的電腦風險報告，以利管理人員採取因應行動。
4. 系統存取控制
   1. 同仁對各應用系統的使用，透過公司內部規定的系統權限申請程序，經權責主管核准後，由資安負責人員請委外廠商建立系統帳號，並依所申請的功能權限做授權方得存取。
   2. 帳號的密碼設置，規定適當的強度、字數，並且必須文數字、特殊符號混雜，才能通過。
   3. 同仁辦理離(休)職手續時，必須會辦行政部，進行各系統帳號的刪除作業。
5. 確保系統的永續運作
   1. 系統備份：建置異地備份系統，採取日備份機制，系統與資料庫除了上傳一份於異地備份外，電腦機房各存一份，以確保絕對的安全。
   2. 災害復原演練：各系統每年實施一次演練，選定還原日期基準點後，由備份媒體回存於系統主機，再由使用單位書面確認回復資料的正確性，確保備份媒體的正確性與有效性。
6. 資安宣導與教育訓練
   1. 定期宣導：強制同仁定期更換系統密碼，以維帳號安全。
   2. 講座宣導：每年不定期對內部同仁實施資訊安全相關的教育訓練課程。
7. 本公司資訊安全主管及人員已加入中華民國資訊軟體協會，透過資安長聯誼會之互動交流，吸取更多相關新知及經驗。

四、 投入資通安全管理之資源

• 為實踐資通安全政策，本公司之台灣分公司於民國113年11月1日與委外專業廠商簽定機房重新配置及資訊定期維護合約，機房重新配置以改善及精進目前資訊設備需投入新台幣25萬元，並要求下列資安控管事項維護及協助ISO27001(ISMS)架構導入，每月需支付新台幣2.5萬元維護費用，合計投入新台幣55萬元以符合資通安全檢查之控制：

1. 路硬體設備如防火牆、網管型網路交換器、應用程式可見性與控制 Wifi 設備、郵件防毒、垃圾郵件過濾、上網行為分析等。
2. 軟體系統如Active Directory 網域控制站、備份管理軟體、VPN 認證及日誌與監控功能、身份管理與安全功能、資訊保護與存取控制機制 。
3. 電信服務如入侵防護服、入侵偵測服務等。
4. 投入人力如:每日各系統狀態檢查、每週定期備份及備份媒體異地存之執行、每年資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
5. 資安人力:設置資安主管乙名及資安人員乙名共兩名人員，負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。
6. 本年度於113年12月10日召開資通安全管理審查會議,確認資通安全維護計畫之可行性,以確保執行上之有效性。