信息安全管理

信息安全

为应对日益严峻的信息安全风险与挑战，公司制定了「软硬并行」的信息安全管理策略，强调设备防护、系统防御与员工信息安全意识并重，全面保障信息资产的机密性、完整性与可用性。

为符合政府相关法律法规要求，并强化公司整体信息安全治理架构，公司于2023年11月设立首席信息安全官（CISO）一职，同时成立信息与通信安全小组，专责推进、监督及审查信息与通信安全管理相关工作。

永道成立后，由台湾分公司总经理担任首席信息安全官，统筹并带领台湾及扬州信息部门人员组成信息安全小组。信息安全小组组织架构如下：

信息安全管理策略

由首席信息安全官（CISO）负责信息安全政策与制度的规划、推动、协调、监督及审查工作；信息安全小组成员则依据各自职责，落实各项信息与通信安全管理工作。

信息安全小组每季度召开一次会议（全年共四次），至少每年一次对信息安全政策与目标进行检讨，并开展内部信息安全检查与审计，提出具体的管理方案与改进措施，定期向董事会报告信息安全工作的推进成果。

2025 年度共计召开 4 场次信息安全小组会议，确保管理目标落实，并于 2025 年 11 月 11 日向董事会报告。

具体管理措施

为有效落实信息安全管理，公司推动多项具体措施如下：

1. 投入部署防火墙及网络核心交换设备，并实施网络分区与最小权限原则，以降低潜在信息安全风险。
2. 定期开展计算机系统及软件资产盘点，并进行安全补丁更新。
3. 各项网络服务的使用均依据信息安全政策规范执行。
4. 定期进行数据备份，确保关键数据的可追溯性与可恢复性。
5. 台湾厂区已导入 MFA 多因素认证机制；扬州厂区预计于 2025 年完成评估，并于 2026 年正式导入。
6. 自 2025 年起导入 AI 零日防病毒软件，强化实时威胁检测与防护能力。
7. 计算机设备由专人统一管理，账号与密码采用强密码规则设置，并定期更换。
8. 远程登录系统实施权限管控，依岗位职责授予相应的访问权限。
9. 每年执行一次灾难恢复演练，确保业务持续运营能力。
10. 每年至少开展一次社会工程攻击演练，提升员工信息安全防范意识。
11. 每年至少举办一次全员信息安全教育培训，持续提升整体信息安全意识。
12. 信息安全小组成员每年接受不少于 12 小时的信息安全专业培训，以持续提升专业能力。
13. 不定期开展信息安全宣传活动，推动信息安全文化深入全体员工。

推动情况

本公司在2025年度持续加强信息安全治理与防护机制，取得的主要成果如下：

1. 全年共召开4次信息安全小组会议，定期检查信息安全风险及管控效果，确保信息安全管理目标有效落实。
2. 举办2场全体员工信息安全教育培训，提高员工对信息安全风险的认知和防范能力。
3. 每季度发送信息安全宣传邮件共4封，持续强化员工的信息安全意识，降低社会工程攻击及信息安全事件风险。
4. 引入IEC 62443-4-1标准，建立产品安全开发流程（Secure Development Lifecycle, SDL），在产品开发源头即融入安全设计，提高整体信息安全韧性。
5. 新采购300套AI实时防病毒软件，加强端点即时威胁检测与防护能力，降低信息安全攻击风险。
6. 扬州办公点已完成多因素认证（MFA）系统采购，计划于2026年正式完成导入，进一步提升账户与访问安全。

未来推进方向

未来，公司将逐步导入零信任（Zero Trust）安全架构，确保所有用户及设备在访问公司资源前均需通过严格的身份验证与授权控制。

同时，为进一步强化网络防御能力，公司计划于2026年建设入侵检测系统（IDS），以实现对网络异常行为的实时监测，提升整体威胁识别与应急响应能力。

在国际标准与认证方面，公司已规划于2025年完成产品研发阶段的 IEC 62443-4-1 认证，并于2026年正式启动 ISO 27001 信息安全管理体系（ISMS）认证项目，以建立更加完善、系统化的信息安全治理体系。

重大信息与通信安全事件及损失情况

截至目前，公司未发生任何重大信息安全事件，亦未出现因信息安全问题导致的公司声誉受损、客户关系受影响或营业收入损失的情形。上述成果表明，公司信息安全管理策略已初见成效，未来将持续加强信息安全治理与防护能力，不断提升整体风险防控水平。