資訊安全政策

一、政策宗旨與背景

本公司為因應日益嚴峻的資訊安全威脅，於 2025 年正式制定「資訊安全政策」。本政策結合公司營運特性及風險評估結果，建立全面的資訊安全管理架構及控制措施，旨在確保企業營運持續性、資訊資產完整性及維護客戶信賴。

本政策涵蓋以下重要面向：

• 網路安全威脅：針對勒索病毒、APT（高階持續性威脅）、釣魚攻擊等迅速演變的威脅，採取相應防範措施。

• 供應商管理：建立有效的供應鏈安全機制，確保合作夥伴在資安防護方面的一致性。

• 公司治理與風險控管：將資安風險整合進企業整體風險管理框架，提高高層管理與各部門對資安風險的意識。

二、資安風險評估與應對措施

為有效管理公司資訊環境中的潛在威脅，我們定期執行以下資安風險管理措施：

• 風險評估與漏洞掃描：每年對關鍵系統進行風險評估，並進行自動化漏洞掃描及手動滲透測試。

• 災難復原與備援措施：定期進行災難復原演練，確保在系統發生重大故障或災難後能迅速恢復營運。

• 資產管理與資訊分類：對公司所有資訊資產進行清單整理、分類管理及存取控制，遵循最小權限原則，確保資料的機密性與完整性。

• 員工資安訓練：定期舉辦資安意識訓練及社交工程攻擊演練，提高員工對資安事件的識別與應對能力。

三、持續改善與合規監督

本公司將持續關注最新的資安趨勢，並根據內部稽核、資安事件回饋及業務發展需求，定期修訂及優化資訊安全政策。通過內部稽核及外部第三方檢查，確保資訊安全管理體系的有效運作與不斷改進。