投資人專區

公司基本資料 財務資訊 公司治理 股東專區 重大訊息 永續發展 利害關係人 集保eCounter平台

公司治理

公司治理 公司內部規章 風險管理 智慧財產管理計畫 誠信經營情形 內部稽核
風險管理
本公司致力於強化資通安全治理機制,確保生產製造環境(OT)與企業資訊系統(IT)之持續營運,本年度資通安全量化與質化投入涵蓋以下四大面向:

1. 強化主動式防護機制:為因應日益嚴峻的網路攻擊,本公司持續升級資安基礎建設,今年度已投入約25萬辦理次世代「端點偵測與回應系統 (EDR)」之導入作業。透過持續性的系統升級,確保能有效抵禦新型態勒索軟體,保障生產與營運系統的穩定。

2. 專責組織與人力編制:本公司已設置專責資訊安全單位,目前編制包含 1 名資安經理及 2 名資安專員(共計 3 名專業人力),專職負責推動全公司之資安政策、風險管理與合規性審查。

3. 資安專業人才培育:為維持團隊之專業防禦量能,專責資安人員每年均參與外部專業資安教育訓練達 10 小時以上,持續掌握國際最新資安防護框架(如 ISO 27001, IEC 62443 等)與實務技術。

4. 全體員工意識深化:落實企業資安文化,每月定期發行「資安月報」向全體同仁宣導社交工程防範與最新威脅案例;同時,年度內已規劃並將開辦內部資安教育訓練課程,以全面提升跨部門與產線員工之資安警覺性。

資訊安全風險管理架構

為強化本公司內部資訊安全管理,確保資訊資產的機密性、完整性及可用性及資訊業務持續運作之資訊環境,以符合國內相關法規之要求,使其免於遭受內、外部的蓄意或意外之資訊安全事件之威脅,特訂定此管理辦法。
本公司114年資訊安全管理執行情形,均依據公司訂定之管理辦法與相關管理辦法,進行管理與維護工作,截至目前無發現重大缺失,並提114年12月24日董事會報告。

114年資訊安全管理運作情形報告

  • 每年定期進行災害復原演練,執行虛擬系統復原演練,確保備份資料可用性。
  • 成立資通安全推行小組,底下組成含:資通安全管理代表、資通安全處理小組、文件管制小組、資訊稽核小組。
  • 於112年加入台灣電腦網路危機處理暨協調中心,並持續關注各項資安漏洞。
  • 資通安全推行小組定期參加教育訓練。
  • 不定時與同仁宣導資安觀念,今年宣導五大觀念:
  • 立即鎖定電腦(Win + L):

只要離開座位,無論時間長短,請務必鎖定電腦〔快捷鍵 Win + L(Windows)或 Ctrl + Command + Q(Mac)〕鎖定您的工作電腦,防止資料被窺視或操作。

  • 密碼絕不外洩:

嚴禁將密碼寫在紙上或便條紙上並放置於桌面上、螢幕邊緣或鍵盤下方。

  • 警惕釣魚郵件:

對來路不明的郵件、連結或附件保持高度警覺。若有疑慮,請勿點擊,並立即通報資訊安全室。

  • 嚴禁上傳機敏資料至 AI 平台:

禁止將任何公司機密、客戶資料或未公開的業務資訊輸入或上傳至 ChatGPT 等任何公共生成式 AI 工具。

  • 不使用來路不明軟體:

嚴禁私自安裝或使用任何未經公司資訊安全室核准的軟體或程式。

    • 公司電腦皆已啟用防護病毒服務,以避免電腦遭受惡意攻擊。
    • 員工使用之公司電腦皆納入網域控制站原則管理,以掌控電腦目前健康狀況。
    • 資料存取依各部門獨立存放,如有跨部門資料共享需求,則依部門職責進行設定。
    • 機房的環境(如溫、濕度)每日進行監控。並確認各資訊系統運作狀況。
    • 機房伺服器系統已進行高可用性服務(HA),以避免主機異常而導致服務中斷。
    • 系統服務資料與部門資料每日進行本地備份及異地備份,降低因地端發生災害造成資料遺失風險。
    • 定期進行總公司及據點的防火牆版本更新。

壹、資訊安全風險管理架構

I.組織:

資訊單位為資訊安全的主要管理單位,負責訂定與實施相關政策與具體管理方案,稽核室為督導、檢察單位。

II.程序:

i.發生資訊安全問題時的通報程序:

ii.處理流程:

1. 初級:各單位發生初級資訊安全問題,通報給資訊單位進行原因分析、解決。例如個人電腦中毒。

2. 中級:如發生較大範圍的電腦中毒、防火牆遭到攻擊等,需通報到副總經理並聯繫委外維護廠商進行修復。

3. 高級:如公司遭駭客入侵、伺服器損毀等,需通報到董事長,聯繫委外維護廠商進行修復、啟動異地備援回復。

iii.矯正及預防:

1. 將發生以及潛在之資訊安全問題,採取相關的矯正及預防措施。

貳、資訊安全相關政策

I.相關管理辦法與相關政策:

i.ISO SAP-08辦公室管理辦法:維持電腦正常運作。

ii.ISO SFP-10公司財產管理辦法:使財產得以確實管理。

iii.個人資料保護管理辦法。

iv.資訊安全管理通則:資訊安全政策訂定與實施。

參.資訊安全具體管理方案

I.管理措施:

i.權限控管:

1. 公司所有電腦都必須加入公司網域管理,並依照部門職責、職級設定相關權限。

ii.存取管控:

1. 系統資料存取都須依照部門職責、職級設定相關存取權限。公司內部資料夾檔案存取也都依照不同部門需求、部門職責歸屬來設定相關存取權限。

2. 如有需要遠端連線進入公司網域都需要填寫「軟體及網路帳號使用/異動申請單」經過核准才能由資訊單位開通。

iii.外部威脅:

1. 一般使用者不可自行安裝軟體,須由資訊單位安排協助安裝作業。個人進入網域、系統密碼必須定期變更,或使用雙重驗證來保護。

iv.系統可用性:

1. 公司伺服器內重要資料每日進行備份,機房的環境(如溫、濕度)每日進行監控,以確保所有資訊設備都在安全、符合標準的環境中使用。

II.風險控管:

i.每年進行乙次災害復原演練,以確保所有備援資料能立即回復使用。

ii.發生網路異常時,檢視防火牆狀況。如發現有異常狀況,則啟動資訊安全問題的通報處理流程來進行問題排除。

iii.公司電子郵件信箱委外服務商都有進行監控,察看有無異常收發信件。啟動垃圾廣告或不當來源信件阻絕的功能,避免員工的電子信件遭受惡意程式植入而發出病毒郵件或接收到釣魚郵件。

III.教育訓練:

i.發送如最近外部重大資訊安全新聞或內部重大資訊安全問題的狀況,提醒所有員工需加強關注,以防止類似問題再次發生。

 

本辦法經董事長核准通過後實行,修正時亦同。
本辦法第一次訂定於民國109年08月20日