Corporate Governance
Investor Relations
投資人專區
資通安全管理
隨著網路環境漸趨複雜及數位科技發展,企業面臨資通安全風險日益增高,本公司重視資通安全與機密資訊的保護,為確保公司電腦資訊、資料、系統、設備及網路安全等,避免因人為疏失、蓄意破壞,遭致資訊資產不當使用、竄改、洩漏、損毀等情事,而損及公司營運及投資人的權益,本公司制定資通安全策標準程序,供全體同仁共同遵循。此外,本公司也採取各種技術方法,不定期宣導提升員工資安風險與意識,以降低公司資通安全的風險。
資訊安全政策
本公司堅守「零容忍」原則,致力於制定並持續優化資通安全政策與管理架構。對全體員工、客戶及供應商承諾,對於任何資訊安全事件將採取最嚴格的控管措施,確保資訊安全無虞。並依據金管會《上市上櫃公司資通安全管控指引》訂定資通安全政策,由資訊單位負責執行,透過年度稽核檢視各項管理標準的符合度,確保資通安全政策得以有效落實。秉持PDCA循環管理模式,持續檢討與優化資安與個資保護機制,並建立完善的操作標準程序,以強化資訊基礎設施與資安防護能力,確保公司資訊的機密性、完整性與可用性獲得妥善維護。
資通安全管理架構
本公司由資訊單位擔任資通安全權責單位,負責資通安全政策與計畫的執行。資訊部門主管兼任資訊安全主管,統籌資安策略與管理,並設置專責人員負責資通安全政策的制定、執行與持續優化。透過落實作業推動與定期檢討改善,確保資通安全管理機制的適當性與有效性,並要求內外部相關人員嚴格遵循公司資通安全政策,共同維護資訊安全,降低資安風險。
稽核室則擔任監督角色,每年依據稽核計畫實施資通安全檢查,評估管理措施的適切性與執行成效,並將稽核結果呈報審計委員會及董事會,有效落實內控制度與資安管理措施。
具體管理方案
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
| 面向 | 具體管理措施 |
|---|---|
| 資通安全技術控管建置 | 1.重要資訊系統均已虛擬化,於主機伺服器有狀況時可自動遷移至其它主機伺服器,以確保資訊系統之高可用性,維持營運不中斷。儲存伺服器亦建置高可用性備援,重要系統、資料庫、資料均定期備份,並再備份至雲端,以防資料損毀時可供回復。 |
| 2.內部與外部網路之間以集中式威脅管理設備隔離,監控並妥善管理出入之流量,使未經授權之行為無法進行。對外服務的網站伺服器之前端,亦設置網路應用程式防火牆,防止外部透過網站入侵內部竊取資料或進行破壞。 | |
| 3.郵件之收發,皆透過郵件過濾伺服器過濾,以防止各種透過郵件的威脅,並且阻擋垃圾郵件以避免干擾工作。 | |
| 4.內部網路亦設置網路接取管理設備,防止未經許可的網路設備私自連接網路,以降低資料被竊取的管道及感染病毒的風險。使用者端亦以中央控管派送佈署防毒軟體,並即時更新病毒碼,能即時攔截病毒、木馬、蠕蟲等惡意程式。 | |
| 5.重要部門及空間,皆設置門禁設備,以禁止未經授權之人員進入。 | |
| 6.於各重要空間架設監視錄影系統,以嚇阻不良意圖之行為,並可作為事後偵查所需之佐證。 | |
| 系統帳號與權限生命週期 管理 | 依各職務、權責分別設定使用者帳號及權限,權限皆須經過申請,並經主管及權責管理單位核准設定後使用。使用者離開原職務時立即撤銷該使用者帳號及權限。若為調任職務,則修改為新職務所需之權限,以防範未經授權之使用。 |
| 資料存取紀錄稽核備存 | 紀錄系統及文件存取之軌跡。報廢程序完成之電腦,均將硬碟拆解破壞或以工具予以徹底抹除資料並登錄,以符合資安政策。 |
| 資訊系統持續運作 | 檔案、重要系統與資料庫皆進行每日及每週自動排程備份,並每年進行一次災害復原演練並產出報告,確保復原計畫具可靠性,同時將報告提供稽核單位進行審查。 |
| 資通安全教育訓練 | 舉辦教育訓練及宣導方式強化同仁資通安全意識,在新進員工報到時所簽署之雇傭契約書中,亦包含資通安全條款,以利新進同仁瞭解公司資通安全政策及要求。除公司舉辦之教育訓練外,亦不時派員參與外部所舉辦之相關訓練活動,吸取資通安全最新攻擊防禦技能,以強化本公司資通安全防護之能量。 |
投入資通安全管理之資源
韋僑科技每年投入大量資源於資通安全,如:資通安全訓練及宣導、防火牆、VPN、網路管理、郵件防護、系統及資料備份、門禁及監視系統等,其說明如下:
- 導入雲端備份機制,將重要系統及資料備份至雲端。
- 導入NAC & IP/MAC管理設備,阻止未經授權的設備連入使用網路資源。
- 導入EDR端點偵測及應變軟體,對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現,進一步保護員工電腦及伺服器之安全。
- 實施主機弱點掃描、網站滲透測試、網頁弱點掃描、以及行動應用APP基本資安檢測。
2024年資安管理重點及執行成果
為加強資訊安全有效管理,本公司每年定期將資訊安全執行情形提向總經理報告,最近一次報告日期為2025/1/14,主要執行情形如下:
- 持續強化資訊安全管理,提升網路、系統及資料安全防護。
- 在網路安全方面,建立網路設備驗證器之高可用性備援機制,降低單點故障風險並強化網路韌性。
- 系統安全方面則著重於降低攻擊面及強化系統抗擊打力,包含汰除老舊設備、優化儲存伺服器空間使用、強化伺服器存取控制並導入更嚴格的帳戶密碼安全性政策。
- 在資料安全方面,針對伺服器及資料庫優化並擴大備份321原則的範圍,包含針對備份標的分級,訂定備份頻度及保留時間以降低資料遺失風險。
| 年度 | 課程 | 參與對象 | 參與人數 | 進修時數/堂 |
|---|---|---|---|---|
| 2024年 | 中級資訊安全規劃與防護實務 | 資安人員 | 2 | 12 |
| 資訊安全 | 員工 | 44 | 2 | |
| 2023年 | 資訊安全 | 員工 | 41 | 2 |
| 2022年 | 資訊安全 | 員工 | 21 | 2 |
| 內稽人員對於資訊安全之稽核管控實務(視訊) | 稽核主管及代理人 | 2 | 6 |
個人資料保護與管理
本公司重視員工及客戶之隱私權保護,遵循《個人資料保護法》,訂定「個人資料保護作業辦法」與政策,本公司採行個資安全防護措施,落實資料存取權限管控,以確保個人資料於蒐集、處理、保存、利用及存取過程中,均受到妥善之保護與保密,且遵守相關個人資料及資訊安全之相關法律規章,並依循公司所定之個人資料保護政策落實執行。其適用範圍包含全體員工對於員工、客戶之資料進行隱私安全保護措施,並設有個資安全維護小組,管理及保護個資隱私。透過個資內部稽核、危機預防及教育訓練,為個人資料保護把關。
2024年執行成果:
- 2024年度內,本公司發生0起違反個人資料保護法事件。
- 2024年度內,共77位新進員工簽署「個人資料提供同意書」,確保新進人員充分了解個人資料蒐集、處理及利用之目的、方式與權利。
2024年客戶進行2次個人資料保護外部稽核。
假標題假標題
具體管理方案
假標題假標題
假標題假標題
假標題假標題
