為落實永續發展，保障公司機密資料及顧客隱私，本公司於2012年建立「資訊安全管理委員會」，執行資安政策佈達與建立溝通機制，有效防止資訊遭竊取、竄改、滅失或遺漏，除了保障資訊的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)之外，還須符合ISO 27001標準或資安相關法規。
 

資訊安全管理委員會

負責審視資訊安全治理政策、監督資安管理運作情形、建構全方位資安防護機制、提升同仁資安意識、定期評估資訊安全風險，並自2020年起，每年向董事會報告執行狀況。

資訊安全政策

本公司參考ISO 27001與NIST規範，並依據內部實際管理需求制定以下資訊安全政策：

• 資訊管理中心各單位均建立相關資訊資產清單，並明定擁有者，依資訊資產等級差異，執行風險評鑑作業，針對高於可接受水準之風險應進行風險管理，以有效降低風險，並持續落實各項管控措施。
• 相關人員錄用應進行必要之考核並簽署相關作業規定文件，異動或離職時應歸還其資訊資產、新進與現任同仁皆須參加資訊安全教育訓練，以提升資訊安全防護之認知觀念。
• 進出公司大樓及資訊安全管制區域時，應落實相關門禁管控及物品攜出入規定。
• 嚴禁同仁私自架設網路設備串接外部網路與公司內部網路，且內外部網路均設置防火牆、非武裝區(DMZ)及必要安全設施，重要設備應建置適當之備援或監控機制，維持其可用性；同仁之個人電腦應安裝防毒軟體且定期更新病毒碼，並禁止使用未經授權軟體。
• 同仁個人持有之帳號、密碼與權限應善盡保管與使用責任、管理人員應定期清查覆核，重要系統運作資料應定期備份並執行回復測試。
• 系統開發應於初始階段考量安控機制之建置；委外開發部分應強化控管及契約資訊安全之要求。
• 同仁如遇資訊安全事件，應立即通報，並依照資訊安全事件處理說明書程序處理，避免事件擴大，並配合權責部門共同解決。
• 同仁日常作業應落實確認覆核機制，維持資料準確性，主管人員應督導資訊安全遵行制度落實情況，強化同仁資訊安全認知及法令觀念。
• 本公司定期檢視資訊安全政策，以回應政府法令、技術及業務等最新發展現況，並由資訊安全管理委員會依資安政策調整其目標，以確保資安實務作業之有效性。

資訊安全風險鑑別流程

資訊安全風險鑑別

• 政策：以ISO 27001的14個控制項目與114個控制措施為依據，從網路安全、主機安全、應用系統安全、設備安全、作業分析集資安管理等六大面向強化資安，將風險改善流程化及數據化，建立資安防禦縱深架構，提升資安強度。
• 年度目標：訂定年度資安管理目標，依其特性制定評量數據，透過數據化的指標及標準化流程針對不合規或明確風險提出改善建議並列入追蹤。
• 弱點掃描：為因應日新月異的駭客入侵手法，我們定期針對提供服務之相關系統進行弱點掃描，2022年共發現57個系統漏洞，並於三個月內全數修復完畢。

資訊安全教育訓練

• 資安訓練：為新進員工安排「資訊機密安全與電腦網路使用規範」課程，共1,069人參訓，亦開辦「資訊安全與社交工程宣導」及「資訊安全」等課程，共742人次參訓。
• 資安公告：於友廠重大資安事件發生時進行資安宣導公告，以提醒員工注意相關風險，避免重蹈覆轍，造成公司營運損失。2022年共進行6次資安公告。
• 社交工程演練：對全集團同仁進行1次電子郵件社交工程演練。

資訊安全措施

• 制定縱深防禦資安架構，從網路安全、主機安全、應用系統安全、設備安全、作業分析及資安管理等六大面向強化資安。
• 強化AI驅動的資安防護架構，並搭配7x24緊急應變措施及鑑識分析平台，讓資安防護無漏洞。
• 與國際威脅情資中心同步，即時更新威脅情資，並透過主動式預警分析引擎來有效阻擋惡意連線及主動獵捕可疑行為，再搭配專業資安專家進行鑑識調查，強化駭客防禦系統。
• 因應對外提供服務系統的更新，自2020年起，每年至少執行1次平台弱點掃描及一次社交工程演練。