风险管理

2024年取得ISO27001认证后，今年持续推动第二年PDCA循环运作

• 透过落实权限管理、资安通报、弱点修补及备援演练，有效降低资安事件发生率。
• 公司后续将持续优化监控机制与通报流程，并强化威胁情资分析与自动化防御工具，提升整体防护能力，确保资安治理体系长期稳定运作并维持国际标准认证效力。
• 
  

• 藉由多因子验证（MFA Multi-factor authentication）系统导入，全面强化账号及身份认证安全，并降低外部入侵及账号滥用风险。

• 依年度资讯安全管理计划，完成2025年度弱点扫描及修正作业，涵盖内部服务器、网络设备、应用系统及关键服务…等。
• 扫描结果依风险等级分类，高风险漏洞已立即部署修补程序或安全设定调整；中风险漏洞依优先级完成处理，确保系统及服务安全稳定。

• 资安团队因应资安报导指出，勒索软件Clop利用零时差漏洞攻击Oracle ERP商业应用程序，第一时间确认受影响系统版本与范围，并依风险等级进行优先级评估。
• 官方释出修正Patch后，在最短时间内完成测试及安装验证，确认系统功能是否正常且无兼容型问题，且期间关键系统运作并未受影响。
• 强化与厂商、资安通报平台及政府资安单位的联系机制，以确保第一时间掌握资安威胁信息。

• 依资讯安全管理制度及业务持续计划，完成年度灾难演练，验证关键设备及数据备份的完整性、可用性及业务复原能力。
• 演练涵盖主机房环控设施、数据库及应用系统，仿真灾害或重大故障情境下的恢复程序，共计机房环控15项、各式系统及数据库15套，依既定SOP逐步执行检查、备份还原、系统重建及数据一致性验证。
• 透过还原演练测试，验证备份与灾难复原能力的有效性，增强对突发事件的应变信心，并确保资讯资产及关键业务系统可持续运作，以支持公司长期营运安全与永续发展目标。

• 2024.12.24 已取得ISO/IEC 27001：2022「企业资源规划系统与资讯机房之维运与管理」之认证，证书有效日期至2027.12.23。
• 本年度共举办2次ISO27001国际资安认证内部稽核训练，共计16人次，合计32人时。
• 本年度于114.09.20办理全集团系统灾难复原演练。
• 本年度共办理40次资讯安全教育训练(在线教育训练)，共计53人次，合计79.5人时。
• 2025.05月完成全景多因子验证（MFA Multi-factor authentication）系统导入。
• 2025年弱点扫描作业，已修正高度风险45笔、中度风险197笔、低风险19笔。

以上有关114年资通安全执行情形，已于2025年11月10日提报董事会，因资讯安全管理的落实，2025年度本公司并未无任何重大的网络攻击或事件，亦无客户资讯泄漏及违反资通安全等重大资安事件发生，但仍秉持着防范未然之心态续编列适当的预算强化资讯技术安全，保护公司与客户之资产。