展碁國際股份有限公司
資通安全管理資訊揭露
永續經營
2025/12/18
資通安全管理資訊
1. 資通安全風險管理架構
本公司資通安全之權責單位為資訊管理處,負責規劃、執行及推動資通安全管理事項,宣導資通安全訊息,提升全體員工的資通安全意識,持續關注相關技術、產品資訊新聞,維持資通安全管理系統的有效性。
本公司設置有資訊安全暨個資保護管理委員會,負責審核與監督資通安全作業之推動與實施,資訊單位配置專責資安管理人員,遵循 ISO27001 制度實施內部稽核作業。
稽核室每年定期就內部控制制度電腦化資訊系統處理循環進行稽核,針對資訊安全作業的執行狀況進行查核,確保公司資通安全管理的有效性。
2. 資通安全政策
(1) 維護本公司資訊資產之機密性、完整性與可用性,以符合公司內外部相關利益團體(個人)之要求與期盼。
(2) 保護本公司各部門業務活動資訊,避免未經授權的存取。
(3) 保護本公司各部門業務活動資訊,避免未經授權的修改,確保其正確與完整。
(4) 建立跨部門之資訊安全組織,制訂、推動、實施及評估改進資訊安全管理事項,確保本公司具備可供業務正常持續運作之資訊環境。
(5) 確保本公司各部門之業務活動執行符合相關法令或法規之要求。
3. 具體管理方案
(1) 設備安全防護
a. 本公司應用系統伺服器設置於專業機房,並有嚴格門禁管制系統,且有保存進出紀錄存查。
b. 伺服器及個人電腦安裝端點偵測與回應系統(EDR),提升設備安全性。
c. 導入端點設備管理系統,逐步導入零信任架構。
(2) 網路安全管控
a. 建置次世代防火牆,強化網路防禦功能,阻擋駭客非法入侵。
b. 本公司各營業據點通訊採用 VPN 連線,確保通訊安全。
c. 同仁於遠端欲存取公司內部資源須申請專屬 VPN 權限。
d. SSL VPN 啟用雙因子驗證(MFA),提升網路存取安全性。
e. 委託資訊安全公司監控防火牆日誌。
(3) 系統安全管控
a. 導入源碼檢測工具。
b. 每年進行兩次系統與主機弱點掃描。
(4) 存取控制
a. 同仁存取公司資源均須使用個人專用帳號。
b. 帳號所使用的密碼設有複雜度、長度及使用歷程限制,並強制要求定期變更密碼。
c. 同仁存取各應用系統需依權限申請程序申請使用授權。
d. 人員離(休)職時,會通知資訊部門進行帳號刪除或停用作業。
(5) 資安宣導與教育訓練
a. 針對新進人員實施資訊安全教育訓練。
b. 不定期發布資訊安全宣導訊息,強化人員資安意識。
c. 指派資通安全管理人員參加資訊安全培訓課程與講習。
d. 製作資訊安全線上教育訓練課程,全體同仁都必須參加課程並通過課後測驗。
e. 實施社交工程演練,並針對未通過演練之同仁進行社交工程演練教育訓練,傳遞社工工程攻擊相關資訊及應具備的預防知識。
(6) 持續營運
a. 重要系統配置備援設備。
b. 資料每日定期備份,並建構異地存放與防勒索保護機制。
c. 每年定期實施復原演練。
4. 投入資通安全管理之資源
本公司為確保資通安全,每年投入的資源如下:
(1) 建置網路安全防護設備,如次世代防火牆、網路日誌分析系統。
(2) 專業資訊機房租用。
(3) 資訊安全管理服務。
(4) 防毒軟體。
(5) SSL VPN 服務。
(6) 端點偵測與回應系統。
(7) 端點設備管理系統。
(8) 滲透測試。
(9) ISO 27001 暨 ISO 27701 認證輔導。
(10)投保資訊安全保險。
5. 2025 年執行成果
(1) 取得 ISO 27001:2022 暨 ISO 27701:2019認證。
(2) 發布 15 則資訊安全宣導訊息,結合實際新聞案例或重點漏洞情資,強化全體員工資安認知與辨識能力。
(3) 辦理 4 場新進人員資訊安全教育訓練,共38人。
(4) 製作 2 則資訊安全訓練影片。
(5) 舉辦 1 次全員資訊安全教育訓練,完訓率100%。
(6) 執行 3 次社交工程演練,演練人次達347人次,並針對未通過演練同仁辦理1場社交工程演練線上教育訓練課程。
(7) 進行 1 次滲透測試。
(8) 執行 1 次網站弱點掃描。
(9) 執行 1 次主機弱點掃描。
6. 資訊安全國際標準認證
本公司已於114年7月通過下列資訊安全國際標準之驗證,並持續遵循管理制度執行,維持證書之有效性,目前證書有效期為114年7月17日至117年7月16日。
(1) ISO 27001:2022 資訊安全管理系統
(2) ISO 27701:2019 隱私資訊管理系統