为落实永续发展，保障公司机密资料及顾客隐私，本公司于2012年建立「资讯安全管理委员会」，执行资安政策佈达与建立沟通机制，有效防止资讯遭窃取、窜改、灭失或遗漏，除了保障资讯的机密性(Confidentiality)、完整性(Integrity)及可用性(Availability)之外，还须符合ISO 27001标准或资安相关法规。
 

资讯安全管理委员会

负责审视资讯安全治理政策、监督资安管理运作情形、建构全方位资安防护机制、提升同仁资安意识、定期评估资讯安全风险，并自2020年起，每年向董事会报告执行状况。

资讯安全政策

本公司参考ISO 27001与NIST规范，并依据内部实际管理需求制定以下资讯安全政策：

• 资讯管理中心各单位均建立相关资讯资产清单，并明定拥有者，依资讯资产等级差异，执行风险评鉴作业，针对高于可接受水准之风险应进行风险管理，以有效降低风险，并持续落实各项管控措施。
• 相关人员录用应进行必要之考核并签署相关作业规定文件，异动或离职时应归还其资讯资产、新进与现任同仁皆须参加资讯安全教育训练，以提升资讯安全防护之认知观念。
• 进出公司大楼及资讯安全管制区域时，应落实相关门禁管控及物品携出入规定。
• 严禁同仁私自架设网路设备串接外部网路与公司内部网路，且内外部网路均设置防火墙、非武装区(DMZ)及必要安全设施，重要设备应建置适当之备援或监控机制，维持其可用性；同仁之个人电脑应安装防毒软体且定期更新病毒码，并禁止使用未经授权软体。
• 同仁个人持有之帐号、密码与权限应善尽保管与使用责任、管理人员应定期清查覆核，重要系统运作资料应定期备份并执行回复测试。
• 系统开发应于初始阶段考量安控机制之建置；委外开发部分应强化控管及契约资讯安全之要求。
• 同仁如遇资讯安全事件，应立即通报，并依照资讯安全事件处理说明书程序处理，避免事件扩大，并配合权责部门共同解决。
• 同仁日常作业应落实确认覆核机制，维持资料准确性，主管人员应督导资讯安全遵行制度落实情况，强化同仁资讯安全认知及法令观念。
• 本公司定期检视资讯安全政策，以回应政府法令、技术及业务等最新发展现况，并由资讯安全管理委员会依资安政策调整其目标，以确保资安实务作业之有效性。

资讯安全风险鑑别流程

资讯安全风险鑑别

• 政策：以ISO 27001的14个控制项目与114个控制措施为依据，从网路安全、主机安全、应用系统安全、设备安全、作业分析集资安管理等六大面向强化资安，将风险改善流程化及数据化，建立资安防御纵深架构，提升资安强度。
• 年度目标：订定年度资安管理目标，依其特性制定评量数据，透过数据化的指标及标准化流程针对不合规或明确风险提出改善建议并列入追踪。
• 弱点扫描：为因应日新月异的骇客入侵手法，我们定期针对提供服务之相关系统进行弱点扫描，2022年共发现57个系统漏洞，并于三个月内全数修復完毕。

资讯安全教育训练

• 资安训练：为新进员工安排「资讯机密安全与电脑网路使用规范」课程，共1,069人参训，亦开办「资讯安全与社交工程宣导」及「资讯安全」等课程，共742人次参训。
• 资安公告：于友厂重大资安事件发生时进行资安宣导公告，以提醒员工注意相关风险，避免重蹈复辙，造成公司营运损失。2022年共进行6次资安公告。
• 社交工程演练：对全集团同仁进行1次电子邮件社交工程演练。

资讯安全措施

• 制定纵深防御资安架构，从网路安全、主机安全、应用系统安全、设备安全、作业分析及资安管理等六大面向强化资安。
• 强化AI驱动的资安防护架构，并搭配7x24紧急应变措施及鑑识分析平台，让资安防护无漏洞。
• 与国际威胁情资中心同步，即时更新威胁情资，并透过主动式预警分析引擎来有效阻挡恶意连线及主动猎捕可疑行为，再搭配专业资安专家进行鑑识调查，强化骇客防御系统。
• 因应对外提供服务系统的更新，自2020年起，每年至少执行1次平台弱点扫描及一次社交工程演练。