風險管理

2024年取得ISO27001認證後，今年持續推動第二年PDCA循環運作

• 透過落實權限管理、資安通報、弱點修補及備援演練，有效降低資安事件發生率。
• 公司後續將持續優化監控機制與通報流程，並強化威脅情資分析與自動化防禦工具，提升整體防護能力，確保資安治理體系長期穩定運作並維持國際標準認證效力。

• 藉由多因子驗證（MFA Multi-factor authentication）系統導入，全面強化帳號及身份認證安全，並降低外部入侵及帳號濫用風險。

• 依年度資訊安全管理計畫，完成2025年度弱點掃描及修正作業，涵蓋內部伺服器、網路設備、應用系統及關鍵服務…等。
• 掃描結果依風險等級分類，高風險漏洞已立即部署修補程式或安全設定調整；中風險漏洞依優先順序完成處理，確保系統及服務安全穩定。

• 資安團隊因應資安報導指出，勒索軟體Clop利用零時差漏洞攻擊Oracle ERP商業應用程式，第一時間確認受影響系統版本與範圍，並依風險等級進行優先順序評估。
• 官方釋出修正Patch後，在最短時間內完成測試及安裝驗證，確認系統功能是否正常且無相容型問題，且期間關鍵系統運作並未受影響。
• 強化與廠商、資安通報平台及政府資安單位的聯繫機制，以確保第一時間掌握資安威脅資訊。

• 依資訊安全管理制度及業務持續計畫，完成年度災難演練，驗證關鍵設備及資料備份的完整性、可用性及業務復原能力。
• 演練涵蓋主機房環控設施、資料庫及應用系統，模擬災害或重大故障情境下的恢復程序，共計機房環控15項、各式系統及資料庫15套，依既定SOP逐步執行檢查、備份還原、系統重建及資料一致性驗證。
• 透過還原演練測試，驗證備份與災難復原能力的有效性，增強對突發事件的應變信心，並確保資訊資產及關鍵業務系統可持續運作，以支援公司長期營運安全與永續發展目標。

• 113.12.24 已取得ISO/IEC 27001：2022「企業資源規劃系統與資訊機房之維運與管理」之認證，證書有效日期至2027.12.23。
• 本年度共舉辦2次ISO27001國際資安認證內部稽核訓練，共計16人次，合計32人時。
• 本年度於114.09.20辦理全集團系統災難復原演練。
• 本年度共辦理40次資訊安全教育訓練(線上教育訓練)，共計53人次，合計79.5人時。
• 114.05月完成全景多因子驗證（MFA Multi-factor authentication）系統導入。
• 114年弱點掃描作業，已修正高度風險45筆、中度風險197筆、低風險19筆。

以上有關114年資通安全執行情形，已於114年11月10日提報董事會，因資訊安全管理的落實，114 年度本公司並未無任何重大的網絡攻擊或事件，亦無客戶資訊洩漏及違反資通安全等重大資安事件發生，但仍秉持著防範未然之心態續編列適當的預算強化資訊技術安全，保護公司與客戶之資產。