信息安全管理

資訊安全

因應日益嚴峻的資訊安全風險與挑戰，本公司制定「軟硬兼施」的資訊安全管理策略，強調設備防護、系統防禦與人員安全意識並重，確保資訊資產之機密性、完整性與可用性。

為符合政府相關法令要求並強化公司整體資安治理架構，於2023年11月設立資安長一職，並成立資通安全小組，專責推動、監督與審查資通安全管理工作。

永道成立以台灣分公司總經理擔任資安長，帶領台灣及揚州資訊部同仁組成資安小組。資安小組架構如下：

資訊安全管理策略

由資安長負責資訊安全政策與制度之規劃、推動、協調、監督及審查工作，資安小組成員則依職責執行各項資通安全管理事項。

資安小組每季召開一次會議（每年共四次），至少每年檢討一次資安政策與目標，並執行內部資安健檢與稽核作業，提出具體管理方案及改善措施，定期向董事會報告資安推動成果。

具體管理方案

為落實資安管理，本公司推動多項具體措施如下：

1. 投入防火牆、網路核心交換器，並實施網路分區與最小權限原則，以降低潛在風險。
2. 定期進行電腦系統軟體盤點及安全性更新。
3. 各項網路服務之使用依據資訊安全政策執行。
4. 定期進行資料備份，確保關鍵資料可追溯與復原。
5. 台灣廠已導入 MFA 多因素認證機制；揚州廠預計於 2025 年完成評估，預計 2026 年正式導入。
6. 自 2025 年起導入 AI 零時差防毒軟體，強化即時威脅偵測與防護能力。
7. 電腦設備由專人保管，帳號與密碼採強密碼規則設定並定期變更。
8. 遠端登入系統採權限控管，依職務需求給予適當存取權限。
9. 每年執行一次災難復原演練，確保營運持續性。
10. 每年至少執行一次社交工程演練，提升員工防範意識。
11. 每年至少舉辦一次全員資安教育訓練，持續提升整體資安意識。
12. 資安小組成員每年 12 小時以上的資安訓練時數，以持續提升專業能力。
13. 不定期舉辦資安宣導活動，使資安文化深入全體員工。

未來推動方向

未來，本公司將逐步導入零信任（Zero Trust）安全架構，確保所有使用者與設備在存取公司資源前均需經過嚴格驗證。

同時，為進一步強化網路防禦能量，預計於2026年建置入侵偵測系統，以即時監控網路異常行為並提升威脅應變能力。

在國際標準與認證方面，已規劃於 2025 年完成產品研發階段之 IEC 62443-4-1 證照，並於 2026 年正式啟動 ISO 27001 資訊安全管理系統認證專案，以建立更完備的資安治理體系。

重大資通安全事件損失

截至今年，本公司未曾發生資訊安全事件，亦無造成公司商譽受損、客戶關係受影響或營收受損的案例，顯示資安管理策略已初具成效，並將持續精進資安治理與防護能力。