stshine

員工專區

投資人關係

公司治理

內部稽核

公司治理運作情形

公司重要規章

功能性委員會

董事會

資通安全

風險管理

首頁 > 投資人關係 > 公司治理 > 資通安全

資訊安全政策

確保公司資訊安全以保障公司及利害關係人之權益,本公司設立資訊安全中心,由總經理督導,資訊安全中心負責擬訂年度資訊安全策略、資訊安全計劃;協調相關資源運用,統籌資訊安全事件管理,規劃安排資訊安全教育及協同稽核單位進行資訊安全稽核作業。

資訊安全中心為有效落實資安管理,確保資訊及網路系統能有效運作並維護其機密性、完整性與可用性。依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環機制,檢視資訊安全系統的適用性與保護措施,持續檢討成效並精進資訊及網路系統安全的管理方案。

資訊安全組織及目標

資訊安全組織

為推動資訊安全相關政策、落實資訊安全事件通報及相關應變處理,由資訊安全專責主管成立資訊安全中心,其下設置四個專責小組,各自依職責分工執行相關業務:

  1. 資訊安全處理小組
    負責資訊安全事件之處理與應變作業,包含資安事件通報、初步分析、處置協調、復原追蹤及改善建議,確保事件能即時控管並降低衝擊。
  2. 文件管制小組
    負責資訊安全相關文件與紀錄之管理,包含政策、程序、作業文件之制訂、版本控管、發佈、保存及更新,確保文件符合規範並具一致性與可追溯性。
  3. 稽核小組
    負責定期或不定期執行資訊安全稽核與查核作業,檢視各項資安措施與流程之落實情形,並提出稽核結果與改善建議,作為管理階層持續改善之依據。
  4. 個人資料保護小組
    負責個人資料保護管理辦法及相關制度之制定與修訂, 個資與資安風險之辨識、評估及管理。制度適法性及有效性之定期檢視。

資訊安全目標

  1. 保密性:確保只有授權的人員可以訪問敏感信息。
  2. 完整性:防止未經授權的修改或損壞資料,確保資料的真實可靠。
  3. 可用性:確保系統和資源在需要時可用,並能夠抵禦意外故障或攻擊。
  4. 合法合規性:符合所有適用的法律、法規和標準,包括隱私保護法律等。
  5. 風險管理:識別、評估和降低資訊安全風險,並採取適當的措施來應對。
  6. 教育和訓練:提供給員工、使用者和相關利益相關者的安全意識培訓和教育。
  7. 緊急應變:建立有效的應急響應計劃,以應對安全事件和違規行為。
  8. 持續改進:不斷審核、更新和改進安全策略、措施和程序。
  9. 技術防護:部署技術安全措施,如防火牆、入侵檢測系統等來保護系統和網絡
  10. 實體安全:保護硬體、設備和設施,防止未經授權的入侵。

資訊安全防護及控制措施

鑑別資訊資產及風險評估

定期就核心業務進行討論,以確認核心業務內容,並據以建立及檢視核心系統資訊資產清冊、鑑別其資訊資產價值。辦理資訊系統資產盤點,並依資產屬性進行分類,並標示出核心資訊系統。

存取控制與加密機制管理

存取控制和加密機制管理的目的是在保護敏感資訊和重要系統的安全措施,企業採取以下作為是來確保資訊資產的安全。

作業與通訊安全管理

  1. 防範惡意軟體之控制措施
  2. 本公司之主機及個人電腦應安裝防毒軟體,並隨時維護軟、硬體。
  3. 任何形式之儲存媒體所取得之檔案,應確定有無惡意程式或病毒。
  4. 使用者未經同意不得私自安裝來路不明、有違法疑慮或與業務無關的軟體。
  5. 設置防火牆以防禦外部威脅攻擊。
  6. 建置防毒軟體、網路防火牆,持續使用並適時進行軟、硬體之必要更新或升級。
  7. 資安設備應定期備份日誌紀錄,定期檢視執行情形。
  8. 不得於辦公室內私裝電腦及網路通訊等相關設備。
  9. 不得於私人之裝置使用公司網路通訊等相關設備。

電子郵件安全管理

  1. 使用者使用電子郵件時應提高警覺,避免讀取來歷不明之郵件。
  2. 不得以電子郵件傳送機密性或敏感性之資料,如有業務需求者應依相關規定進行加密或其他之防護措施。
  3. 使用者不得利用公司所提供電子郵件服務從事侵害他人權益或違法之行為。
  4. 舉辦電子郵件社交工程演練,並檢討執行情形。
  5. 設置電子郵件過濾機制以減少垃圾郵件或惡意郵件入侵。
  6. 建立電子郵件歸檔機制將電子郵件完整保存並具備可查詢性,以因應法令、內外部稽核、有助於事後分析資安事件(如社交工程、資料外洩、內部濫用),降低因郵件刪除或竄改所造成的風險。

電腦機房之管理

  1. 人員及設備進出電腦機房應經授權並留存進出紀錄。
  2. 電腦機房應安裝安全偵測及防護措施,以減少環境不安全引發之危險。
  3. 電腦機房應定期監控溫濕度及電力安全。
  4. 各項設備應定期執行檢查、維修。

機敏資料保護

透過技術工具監控及控管資料於電子郵件、檔案傳輸、雲端服務及外接設備之使用行為,防止資料異常外流。建立存取與操作日誌,定期進行監控與稽核,以利異常行為追蹤與事件調查。防止個人資料、營業秘密、財務資訊及其他敏感資料遭未經授權存取、揭露或濫用。

電腦使用之安全管理

  1. 個人電腦不使用時,應立即登出或啟動螢幕保護功能。
  2. 禁止安裝使用未經合法授權軟體。
  3. 個人電腦定期進行更新作業系統、應用程式漏洞修補程式及防毒病毒碼等。
  4. 重要資料應定期備份及檢驗備份資料之正常。
  5. 未經核准不得使用行動存儲裝置。

核心業務系統持續運作演練

驗證核心業務系統於災害、系統故障或資安事件發生時,仍能於可接受時間內恢復運作,降低營運中斷風險。確認既有之營運持續、備援與復原機制能實際執行並發揮效用。透過演練使相關人員熟悉通報、決策、執行與協調流程,降低實際事件發生時的人為錯誤。透過演練結果檢討缺失,作為流程與技術改善依據,強化整體系統韌性。

資訊安全健診

資安健檢的主要目的在於系統性地評估組織現有的資訊安全防護現況,透過全面性的檢測與分析來識別潛在的安全弱點與風險,並提出具體的改善建議。透過健檢可以提前發現可能被惡意利用的漏洞,有助於強化技術與管理面的控制措施,提升整體資安防護能力,確保資訊系統與網路環境的安全性,並協助組織達成合規要求、降低安全事故發生的可能性與影響,維護業務穩定與營運持續性。

資訊安全教育訓練

資訊安全訓練的目的在建立員工資訊安全認知,提升公司資訊安全水準其內容包含:

  1. 資訊安全政策。
  2. 資訊安全法令規定。
  3. 資訊安全作業內容。
  4. 資訊安全技術訓練。

2025年投入資通安全管理之資源及執行成果

一、 持續維護資訊資產盤點及風險鑑別。

二、 已加入[台灣CERT/CSIRT聯盟]並持續交換網路安全情資,強化資安防禦體系。

三、透過外部資安專業公司完成下列資安健診項目:

  1. 2025/09 完成弱點掃瞄及弱點補強。
  2. 2025/09 完成滲透測試完成及弱點補強。
  3. 2025/05 完成社交工程演練,受測信箱199個,共發出599測試郵件,並針對誤點開風險郵件之員工進行教育訓練共1場。
  4. 2025/12 完成源碼掃瞄及缺失改善計畫。

四、核心業務系統持續運作演練完成:

  1. 2025/12 主機房故障(停電、失火、溫溼度控制故障等)演練。
  2. 2025/12 網路斷線演練。
  3. 2025/12 核心系統伺服器故障演練。
  4. 2025/12 核心系統資料庫復原演練。

五、持續進行資安設備軟、硬體之更新或升級。

六、2025年度舉辦資通安全教育實施情形如下:

七、2025年無重大資訊安全事件發生,亦無遺失客戶資料之情事。

上述2025年資通安全規劃事項及執行情形,資訊安全專責主管已於2026/01/06向董事會報告。