公司治理

安馳於112年11月10日設置資訊安全主管，負責執行資訊作業安全管理規劃，建置與維護資訊安全管理體系，統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。

資訊部定期審核資安風險分析結果及安馳採取對應的防護措施與方策，確保資訊安全管理體系持續運作的適用性、適切性及有效性，並透過每週部門會議彙報資安管理成效及資安策略方向，由具有資安領域相關背景的資安主管督導資訊安全及網路安全策略，定期檢討修正。

安馳為滿足利害關係人需求、保護產品與服務資訊，避免未經授權的存取、修改、使用或揭露，以及天然災害可能造成的損失，本公司採取資安管理措施，以確保重要資訊資產的機密性、完整性及可用性，並符合相關法令法規要求，藉此維持客戶與供應商信任，確保公司重要業務持續運作，並達成對股東之承諾。同時，公司亦確保財務及營運資訊能即時提供管理當局，作為擬定營運策略之參考，並確保各項機密資料妥善且安全地保存或管理。

• 確保資訊資產之機密性、完整性及可用性。
• 確保依據部門職能規範資料存取。
• 確保資訊系統之持續運作。
• 防止未經授權修改或使用資料與系統。
• 定期執行資安稽核作業，確保資訊安全落實執行。
• 公司資訊系統依其風險等級建立異地備援、備份確保資料安全。
• 隨著網路應用的多元化，持續增強安全防禦能力以期防範資安威脅。

為達資安政策與目標，建立全面性的資安防護，推行的管理事項及具體管理方案如下：

• 提升資安防禦能力：定期進行資安系統脆弱度分析及滲透測試，並加以補強與修護，以降低資安風險。建立網路安全事件應變計畫，依事件嚴重度等級進行影響和損失評估，採取對應的通報及復原行動。
• 增進網路、端點及應用安全：提升端點設備的異常偵測及防護能力，包含應用程式白名單（Application Whitelisting）機制與端點偵測與回應（EDR, Endpoint Detection and Response）機制，以優化整體資訊、系統及網路安全區域。
• 法令遵循及導入國際資安認證標準：安馳正推動資訊安全相關的 ISO27001認證標準及法規，作為達成各項風險管理的方法與檢驗依據。公司內部亦成立對應的風險管理委員會，專責推動各項標準化作業，降低生產營運的風險。
• 風險控制：總部與CrowdStrike資安大廠合作，透過其專業服務進行集團整體資安體檢，以公正第三方驗證之客觀結果，作為進階資安強化的依據。
• 教育訓練：進行內部人員資安教育訓練與不定期社交工程釣魚郵件測試，以提升資安意識，使資安的運作在高階主管與各部門的支持下，落實到每一位員工身上。
• 疫情管制：因應全球 COVID-19 疫情，強化在家工作（WFH）的防毒駭及資訊安全保護措施，宣導勿使用公共電腦與網路作為工作使用，善盡保護公司資訊之責任。

資訊安全已為公司營運重要議題，對應資安管理事項及投入之資源方案如下：

• 專責人力：設有「資安推動小組」，負責公司資訊安全規劃、技術導入與相關的稽核事項，以維護及持續強化資訊安全。
• 認證：本年度正推動 ISO27001 資訊安全認證，以確保相關資安稽核無重大缺失。
• 客戶滿意：無影響營運的重大資安事件，無違反客戶資料遺失之投訴案件。
• 教育訓練：所有新進員工到職前皆完成資訊安全教育訓練課程；全體員工皆完成一次線上資訊安全教育訓練及考核；年度共計執行二次社交工程釣魚郵件測試。
• 資安公告：每季發送資安公告，傳達資安防護重要規定與注意事項。
• 電子設備險：安馳自民國一○八年起每年投保資安險，作為面對機房威脅之風險管理解決方案之一，保額約新台幣二千八百萬元。