投資人專區
Investment

資訊安全風險管理架構

本公司資訊安全之權責單位為資訊部,該部設置資訊主管1名,與專業資訊人員數名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實。

本公司稽核室為資訊全監理之督導單位,該室設置稽核主管1名,與專職稽核人員1名,負責督導內部資安執行狀況,若經查核發現缺失,則立即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。

 

資訊安全政策及具體管理方案

資訊安全管理機制

(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。本公司內部訂定多項資安規

                     範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合

                     營運環境變遷,並依需求適時調整。

(二)科技運用:建置資訊安全管理設備,落實資安管理措施。本公司為防範各種外部資安威脅

                     ,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環

                     境之安全性。

(三)人員訓練:進行資訊安全教育訓練,提昇全體同仁資安意識。本公司於新進人員到職時均

                     會進行資訊安全教育訓練實務課程,並隨時因應現實案例進行相關宣導。

 

具體管理措施

類型

說明

相關作業
權限管理 人員帳號、權限管理與系統操作行為之管理措施 人員帳號權限管理與審核
存取管控 人員存取外部系統及資料傳輸管道之控制措施 內外部存取管控措施
外部威脅 內部系統潛在弱點、中毒管道與防護措施

1.主機/電腦弱點檢測及更新措施

2.病毒防護與惡意程式偵測
系統可用性 系統可用狀態與服務中斷時之處置措施

1.系統/網路可用狀態監控及通報機制

2.服務中斷之應變措施

3.資料備份措施,本/異地備份機制

 

113年度資訊安全宣導

日期

主旨

說明
113.07.17 上半年全球網路安全事件與網路安全行為

一、TeamViewer遭駭客攻擊,企業網路被攻破。

二、Nissan資安事件造成10萬客戶個資遭竊。問題分析:客戶個資無定期更改密碼或採用多重認證機制維護資料安全。

三、法國醫療服務公司遭遇攻擊,200萬被保人資訊面臨安全風險。

四、倫敦證券旗下資料庫被竊取,洩漏500萬條敏感資訊。

五、歐洲刑警組織遭入侵,機密資訊數據洩漏。

六、用戶的網路安全行為

(1)密碼使用:定期更換密碼,密碼原則避免使用容易猜到的資訊,如生日、姓名等。

(2)操作系統和應用程式的版本應保持最新狀態,及時安裝安全補丁和更新。

(3)報告任何可疑的網路活動或安全事件,以便快速回應和處理。

(4)遵循公司制定的資訊安全政策和使用程式,包括數據訪問、設備使用和網路行為。

(5)最小許可權原則:僅請求完成工作所必需的訪問訂可權,避免不必要的許可權所導致安全風險。
113.12.20 2025資安預測:國家級駭客攻擊未歇、中小企業為目標

全球網路資安解決方案領導廠商趨勢科技今日公布2025年資安年度預測報告,預測駭客開始針對其營運與攻擊手法醞釀轉型策略,將持續利用AI技術加速攻擊效率、擴大攻擊規模、產出更擬真的文字與影音內容進行AI詐騙,並尋找阻力最小、最容易取得的入侵途徑。預測更多的AI應用將催生出全新攻擊手段,駭客因應情勢變化調整攻擊目標,將形成更加詭譎難測的資安態勢。趨勢科技觀察,勒索病毒集團經營模式改變,他們減少對釣魚郵件的依賴,轉而利用被竊取的帳戶資料直接進入受害者系統,頻繁地結合惡意廣告進行資訊竊取,將來自企業網路的數據應用於後續的勒索行動。除此之外,根據趨勢科技台灣的資安事故應變服務案件統計,2024年目標式勒索資安事故有將近九成來自中小企業,預測中小型企業恐將持續成為駭客攻擊的目標。