隨著數位化時代來臨，商業活動日趨複雜，資安威脅日益嚴峻，如何在此變局中維持企業永續競爭力，成為世界各大企業面臨之重要課題。遠東新世紀因應資安管理需求趨動，並依據《公開發行公司建立內部控制制度處理準則》及《上市上櫃公司資通安全管控指引》，專責推動各項資安管理工作。

設置資訊安全處專責推動資安管理工作

遠東新世紀於2022 年11 月9 日經董事會通過，由本公司行政總部蔡敏雄副總經理擔任資訊安全長，並成立資訊安全處，專責推動資安管理工作，包括制訂與追蹤資安關鍵績效指標、資安維護以及教育訓練等，結合既有之資訊中心，共同負責本公司資安管理作業。成立資通安全聯防推動小組及委員會為強化與推動資安管理工作，本公司成立「資通安全聯防推動小組及委員會」，其中資訊安全處負責推動資安管理、資安監控與新興科技應用等工作，並由各單位組成資安聯防小組，目前涵蓋單位為行政總部人力資源處、會計處、財務處、法制室、秘書處、國際事務處、安全衛生處及董事長辦公室等，由各單位資安人員協助推動與落實各項資安工作，建構跨單位的資安整合防護架構。稽核處針對資安工作進行內部稽查，確保資安治理符合法規要求與內部控制制度，資訊中心負責資安設備維護工作。

成立資通安全聯防推動小組及委員會

為強化與推動資安管理工作，本公司成立「資通安全聯防推動小組及委員會」，其中資訊安全處負責推動資安管理、資安監控與新興科技應用等工作，並由各單位組成資安聯防小組，目前涵蓋單位為行政總部人力資源處、會計處、財務處、法制室、秘書處、國際事務處、安全衛生處及董事長辦公室等，由各單位資安人員協助推動與落實各項資安工作，建構跨單位的資安整合防護架構。稽核處針對資安工作進行內部稽查，確保資安治理符合法規要求與內部控制制度，資訊中心負責資安設備維護工作。

 

建立與遵循資訊安全管理系統（ISMS）

本公司自2014年起導入「ISO 27001資訊安全管理系統」，針對資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等制訂具體管理方案，並自2016年起每三年進行外部驗證機構認證，於2022年9月取得最新一次ISO 27001：2013認證，證書效期至2025年9月。本公司持續落實PDCA（Plan-Do-Check-Act）目標式管理循環推動資安管理制度。

建置資安事件處理標準程序

本公司已加入「台灣CERT/CSIRT聯盟」（註），並建置資安事件處理標準程序，明訂相關流程與措施，包含通報處理程序及對應人員之職責，目標於最短時間內排除資安事故，並根據事故發生原因提出矯正預防計畫。2022年本公司無發生重大資安事故，亦無資安事件造成之財務損失。

註：電腦緊急應變小組（Computer Emergency Response Team, CERT）、電腦資安事件應變小組（Computer Security Incident Response Team, CSIRT）

落實資訊安全事故通報暨處理

導入資安事件監控服務，整合來自多種資安設備所產生的日誌記錄，如防火牆、入侵偵測系統、防毒軟體系統及端點偵測與回應，進行偵測、蒐集、分析和管理網路安全事件，以有效回應潛在的網路攻擊。落實統一彙整各種資安訊息，提供事前威脅的預警資訊、事中威脅的即時警告以及事後威脅的分析，有效管理各種資安警訊，確保發生資訊安全事故時有所依循，降低對關鍵資訊系統與重要資訊資產及作業的危害與損失。

強化人員資訊安全管理及訓練

遠東新世紀除了針對員工舉辦資安課程教育訓練，宣導資安認知，同時也要求系統開發者及管理者遵循系統建置及安全管理之規範，並強化資安意識，降低資安風險。

確保資訊安全防護有效性

為防範各類資安威脅，除採多層式網路架構設計加強防禦縱深外，更建置各式資安防護系統與威脅偵測應變機制，逐步體現情資分享、縱向溝通、回報與監控，提升整體資安治理成熟度，以降低資安風險。

資訊安全管理組織架構