資訊安全管理與架構
疫情後改變了人們的生活及工作型態,不僅加速了企業數位轉型亦隨著遠距辦公的普及,全球資安事件頻傳,由於資訊安全是一個不斷發展和變化的領域,因此企業務必建立資安意識,並定期執行資安弱點掃描,有利於事件發生前率先阻擋攻擊,以損害降至最低,且為提升資安防護,本公司已加入「台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 會員」。本公司於2023年12月經董事會決議設置資訊安全專責主管(資訊服務中心協理)及專責人員各1名,以強化資訊安全防護能力,並定期召開會議檢討執行情形,且每年定期向董事會報告執行情形與檢討。
一. 資訊安全組織架構
二. 資訊安全管理政策
政策:
以「數位發展,資安為本」強化本公司的資訊安全管理,建立「數位發展,資安為本」之觀念,確保客戶及同仁資料處理之機密性、完整性及可用性,務使本公司資料之處理全程均獲安全保障,提供安全穩定及高效率之資訊服務。
目的:
勁豐電子股份有限公司為強化資訊安全管理,建立安全及信賴之電子 化通訊,確保資料機密性、系統完整性及流程管理、設備及網路安全,避免因資訊安全問題造成營運上不必要的損失,確保企業持續營運的目的。請詳資訊及網路安全管理規範。
三. 資訊安全管理措施
本公司高度重視資訊安全管理,為確保客戶資料與營運資訊的完整性、保密性與可用性,我們已成功導入並取得 ISO 27001 資訊安全管理系統國際認證。
透過此管理系統,我們持續強化資訊安全政策、風險控管及應變機制,確保所有資訊資產皆能獲得最佳保護。
未來,我們將持續精進資訊安全管理,落實國際標準,以提供客戶最值得信賴的服務與保障。相關管理措施及取得認證如下:
| 類型 | 相關作業 |
|---|---|
| 權限管理 | 1.人員帳號權限管理審核 2.人員帳號定期盤點 3.加強員工資安意識及資訊安全教育訓練 |
| 系統存取控制管理 | 1.人員存取內部/ 外部系統及資料傳輸管理措施 2.以網路防火牆區隔內部/ 外部網路 3.遠端存取管理措施 |
| 外部威脅 | 1.電腦病毒防護及病毒碼定期更新程式 2.定期弱點掃描 3.資訊系統如遭病毒感染、潛在安全弱點、漏洞應有防護措施 4.E-Mail安全,Spam mail過濾機制 |
| 可用性 | 1.網路及系統使用狀態監控及通報機制 2.資訊服務中斷時之應變措施 3.確實每日執行備份/異地備援機制,並存放安全地點 4.資料外洩保護機制,確保資料機密性 5.定期災難復原演練,俾於災難發生後電腦系統與業務均能迅速回復正常運作 |
四、資訊安全宣導執行情形
本公司2025年度相關之教育訓練及宣導如下:
1.外部教育訓練
| 日期 | 主辦單位 | 訓練主題 | 時數 | 參加人數 |
|---|---|---|---|---|
| 2025/2/19 | 資安人 | 2025資安365年會 | 8 | 1 |
| 2025/2/15 | 財團法人金融研訓所 | 資訊安全意識、必備知識與責任 E-Course | 2 | 2 |
| 2025/2/23 | 財團法人金融研訓所 | 資安事件說明及預防措施E-Course | 2.5 | 2 |
| 2025/2/23 | 財團法人金融研訓所 | 上市上櫃公司資通安全管控指引說明E-Course | 1.5 | 2 |
| 2025/4/15 | Ithome | 2025台灣資安大會 | 8 | 3 |
| 2025/6/18 | 資安人 | 資安人講堂:四大面向打造「無邊界・零信任」極致安全架構 | 3 | 1 |
| 2025/8/20 | 經濟部產業發展署 | 產業AI 智慧加值服務整合計劃 | 15 | 1 |
2.內部教育訓練
| 日期 | 主辦單位 | 訓練主題 | 時數 | 參加人數 |
|---|---|---|---|---|
| 2025/4/14 | 資通安全部 | 資訊安全與資安政策宣導 | 0.5 | 全體員工 |
| 2025/7/22 | 資通安全部 | 社交工程資安防護 | 1 | 全體員工 |
| 2025/12/10 | 資通安全部 | 社安通識教育 | 1 | 全體員工 |
3.內部宣導
| 2025年度 | 訓練主題 |
|---|---|
| Q1 | 【資安宣導】隨手做資安:離座時鎖定螢幕,守護您的資訊安全! |
| Q2 | 【資安宣導】強化帳號安全:密碼設置與保存最佳實踐 |
| Q3 | 【資安宣導】使用AI 軟體如何顧及隱私與避免安全風險(以ChatGPT為例) |
| Q4 | 【資安文宣】生活中的 AI 詐騙 (提醒警覺及防範意識) |
五、重大資通安全事件
本公司委託安碁資訊執行年度資訊安全健檢,內容包含網站滲透測試、網路活動檢視、惡意程式掃描、社交工程測試及安全設定檢視,以強化防護並防堵外部資安攻擊。
截至2025年12月31日止,未發生駭客病毒入侵及重大資通安全事件,亦未接獲侵犯客戶隱私或個資等相關投訴之情事。