福懋興業資安政策

1. 遵守法規要求，普及資安意識。

2. 重視風險管理，保護資料安全。

3. 要求全員參與，追求持續改善。

福懋興業資安亮點：

資安防範措施與做法：

全球資訊網路相互連結，使各項業務推動更加靈活與快速，但資安攻擊事件層出不窮，這些攻擊可能藉由大量連線癱瘓網路服務、使用電腦病毒或惡意程式影響資訊系統服務或窺探機密資料、透過社交工具竊取機密資料，也可能企業內部人員資安警覺不足，導致機密資料外洩。考量相關風險，本公司已規劃佈置完善的資安防護措施，並於2023年導入ISO 27001，經SGS第三方認證，目前證書之有效期為 2023年 8 月 29 日至 2025 年 10 月 31 日。福懋資訊安全管理方法具體說明如下：

 

 

本公司已成立資安專責單位，並於2022年7月25日設置資安長，為資通安全最高主管，綜理督導、訂定資安政策及相關業務之推動，並設置資安專責單位負責推動、協調監督及審查資通安全管理相關事項，資安相關人員計6人。同時，訂定年度工作計畫、整體網路規劃及設備規劃等，並配合工作需要執行之。由於駭客的攻擊技術日新月異，手法不斷推陳出新，致無法完全杜絕網路惡意攻擊之發生，惟本公司已具備相當的資安防護措施及教育訓練，力求降低網路威脅攻擊之影響，2023年度內部針對資安防護工作執行、檢討事項等進行12次內部會議。

為確保資訊網路安全、穩定，防範資訊系統發生異常災變及電腦檔案資料毀損，及強化個人資料保護，本公司已建立相關管理辦法及處理準則供遵循與處理使用，並於應用程式、作業系統、網路系統均建構層層管制與防護機制，藉以有效控制企業資訊系統風險及維持企業持續營運。

 

同時維護公司資訊使用安全，及建立可信賴的資訊使用環境，本公司依循企業每月召開例行會議，依據規畫、執行、查核與行動（Plan-Do-Check-Act, PDCA）的管理循環機制，檢視資訊安全政策適用性與保護措施，並持續改善。本公司積極推動國際資安管理系統認證（ISO/IEC 27001），從系統面、技術面、程序面降低企業資安威脅，建立符合客戶需求、最高規格的機密資訊保護服務。

 

 

資安風險評估與演練：

為了深植對機密資訊管理的文化，針對全體員工，依「資訊安全緊急處理作業程序」，每年舉辦資安活動，凝聚全員對資安防護的共識並完成相關資安教育訓練，2023年度總共進行2次實體宣導、6次線上宣導及2次營運持續管理演練(BCP)。相關演練之緊急處理作業程序如下：

 

 

資安風險防護：

公司電腦全面佈署Trend Micro防毒系統，搭配機台電腦IP位址存取管控，防範電腦病毒攻擊。使用防毒軟體及防火牆系統找出線上系統、應用程式及電腦可能的重大漏洞與風險，提供系統管理人員掃瞄結果與病毒防治報告，做為系統必要的更新與升級之參考，並且即時更新屬高風險以上的系統漏洞，以增加系統安全性與穩定度。

為因應國內外資安攻擊事件頻傳，網路駭客透過社交工程、非法入侵或勒索病毒等方式進行破壞與洩密，攻擊手法層出不窮，持續發展外部駭客防護策略與縱深防禦方案刻不容緩，以郵件過濾機制和不定期的資安宣導來降低社交工程風險，研析新興資安議題與資安攻擊手法，以預見資安威脅之發展與趨勢，同時洞悉未來資訊科技應用之資安風險，俾利及早提供防範作為。