管理方針
保瑞藥業致力於強化資訊安全管理,已制定「資通訊安全政策」與「資訊安全風險管理架構」,作為資訊安全工作的指導方針。同時,公司已導入多套資安防護系統,並持續優化防禦機制,包括部署次世代防火牆、垃圾郵件過濾與數據備份系統,以確保資訊資產的完整性與穩定性。
資安管理組織
保瑞藥業為確保資訊安全的落實,已於110年制定「資通訊安全政策」,相關辦法因應資安風險變化定期檢視及更新,持續修改與推動。此外本公司主動加入資安聯防組織如:科學園區資安資訊分享與分析中心、台灣電腦網路危機處理暨協調中心及資安長聯誼會,強化本公司資訊安全聯防能量。
本公司自112年1月31日起由陳家駒副總經理擔任資安長並定期向總經理報告,以提高集團整體資訊安全控管層級,日常資安運維由辜麟傑資訊安全經理負責帶領部門同仁執行各項資訊安全工作。資安長於2024年11月13日於董事會進行資訊安全執行情況報告。
資安管理措施
保瑞藥業在資訊安全、科技應用與資訊優化領域積極推動專責管理機制,包括設立資安組織、優化系統建設、加強數據應用及定期進行教育訓練與演練,全面提升資安防護與營運穩定,體現公司對永續發展的承諾。
| 策略 | 機制 | 方案 |
|---|---|---|
| 資訊安全 | 1.資訊安全組織設立 2.訂定資通訊安全制度 3.強化既有資通訊系統安全 | 1.聘僱專責資安主管及組員,推動各項資安工作 2.定期審視與修訂保瑞資通訊安全政策 3.審視既有資通訊系統,並評估與逐步優化 |
| 科技應用 | 1.強化資通訊系統 2.內外部資料收集 3.數據分析與因應 | 1.持續評估並升級電郵防護 2.強化端點防禦能力 3.網路異常監控與防堵 |
| 資訊優化 | 1.持續提升整體資安意識 2.逐步強化資安防禦與保護系統 3.落實重要系統與資料備份和災害還原之演練 | 1.定期發送資安電子報,2024年共發行25次 2.執行資通訊系統弱點管理 3.執行新進人員資安意識培訓 4.定期執行社交工程演練,提升同仁資安意識 |
資安執行情形
一、資訊安全教育與實施報告
為提升全體員工的資訊安全意識,保瑞藥業在2024年持續推動多項資訊安全措施與訓練活動,已完成22,000人次的各類資訊安全教育訓練,總計達到3,854小時。此外,資安部門錄製了中英文資安訓練影片,並將其納入新進人員培訓流程,確保每位員工在入職時即具備基本的資訊安全意識。
二、主要資訊安全實施進展
- 端點防護升級:完成全台9個據點的端點防護系統升級,增強了對惡意軟體及攻擊行為的偵測與防護能力,有效降低了被駭與資料外洩的風險。
- 電子郵件防護:針對釣魚郵件及垃圾郵件威脅,升級了全集團內外部電郵防護系統,已成功攔截大量惡意郵件,顯著提升了電子郵件的安全性。
- 多因子驗證:全面導入多因子驗證機制,強化了員工身份驗證的可靠度,有效防止駭客利用盜取帳密的方式侵入公司系統。
- 資訊資產規範:資安部門在2024年初制定並頒布了《資訊資產使用規範》,並於年底推出《AI技術使用政策》,以應對新興技術帶來的潛在風險。
三、資訊安全教育訓練
除了常規內部訓練,本年度還舉辦了多場專項活動:
- 新進員工訓練:將中英文資訊安全基礎課程納入新員工培訓。
- 社交工程防範課程:針對全體員工實施教育,提升對釣魚攻擊等社交工程手法的識別能力。
- 高階專業培訓:針對IT部門人員進行深入的資安技術專業訓練,確保關鍵技術人員能應對最新資安威脅。