隨著資安威脅日益複雜,企業須持續提升防護機制,確保業務營運的安全性與穩定性。本公司集團電腦中心於2017年導入並取得「ISO 27001資訊安全管理系統」認證,落實PDCA(Plan-Do-Check-Act)管理程序,以符管理系統之目標要求。2023年原證書期滿後再次取得新證書、效期至2026年7月19日。
2024年資安管理將持續朝「零信任架構(Zero Trust)」發展,強化身分驗證、設備安全、網路隔離,並透過People、Processes、Technology(PPT)模型,提升資安成熟度,透過關鍵措施,強化資安韌性,確保企業數位轉型與營運永續發展。
資訊安全組織架構
群光電子設有「資訊安全管理委員會」,由資安長擔任召集人,委員會成員由各單位主管組成,資安人員共計35人。定期召開會議檢討及執行情形,每年向董事會報告結果。2024年重點圍繞系統管理規範強化、網路安全升級、存取控制優化及雲端應用強化來推動,確保資訊安全符合企業內部需求與國際標準。
資訊安全組織架構
資訊安全管理作為
為確保公司資訊安全,降低潛在資安風險,我們依循國際標準與最佳實踐,建構全面性的資安管理架構,參考ISO 27001資訊安全管理系統(ISMS)及美國國家標準與技術研究院(NIST)網路安全框架之五大領域進行落實,確保企業內部與外部的資安風險能夠有效控管。
公司每半年進行社交工程演練、還原演練,每季進行資安宣導。2023年6月起,更強化為新人報到均須參加線上資安教育訓練、簽訂資訊保密協定,資安專責人員除認證訓練外,定期接受專業訓練。
此外,為了解業界動態,本公司也已加入「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」、「資安長聯誼會」、「台灣資安主管聯盟」,共享資訊安全情資,提升整體資安聯防與應變能力。
資訊安全五大領域與主要措施
資訊安全推動成果
1
修訂《電子計算機作業循環管理辦法》
- 針對資訊系統開發、維護、運行及權限管理進行流程優化,提高管理透明度。
- 確保資安策略符合ISO 27001及NIST資安框架,減少操作風險。
2
更新VPN系統,導入多因素驗證(MFA)
- 提升在外辦公及遠端存取安全性,防範帳號盜用與未授權存取風險。
- MFA能有效降低密碼洩漏可能帶來的資安風險,提高用戶驗證安全性。
3
更新防火牆並強化雲端應用與郵件安全
- 部署新一代防火牆(NGFW),強化侵偵測與防禦(IDS/IPS),提高對網路攻擊的即時應變能力。
- 提升雲端服務平台的整合與管理,強化資料保護機制。\
- 提供進階威脅防護,有效防範惡意郵件、釣魚攻擊與勒索軟體,確保企業通訊安全。
4
持續提升員工資安素養
- 2024年全體同仁均參與1小時之基本資安教育訓練
- 完成2次釣魚社交工程演練,點擊率為7%,點擊同仁需參加課程並通過考試,確保對於公司資安政策的認知,目標於2025年持續提升,達全體7%以下。
5
資安防護及異地備援演練
資安事件回應與處置
群光對資安事件高度重視,不僅確保即時應變與損害控管,也積極落實資訊安全管理,以維護客戶信任與企業營運穩定。
當資安事件發生時,立即啟動應變機制,處理過程涵蓋網路與系統層面的應變措施,並同步進行鑑識與證據保存。我們高度重視資訊透明與法規遵循,事件發生時通知利害關係人與法務單位進行風險評估,並依政府規範發佈重大訊息。也持續提高內部員工警覺性,發現異常時應立即斷網關機,並尋求集團電腦中心支援,避免進一步損害。
資訊安全通報機制
2024年重大資訊安全事件回應
個資保護推動
群光電子於2025年制定《個人資料暨隱私權保護政策》,保護範圍包含供應商或客戶所屬人員、訪客(包含造訪本公司網站者)、投資人、簽約及訴訟對象、應徵者、產品或服務使用者等(以下合稱「當事人」)之個人資料,均屬於個人資料保護範圍。2025年完成後即以相關內容進行教育訓練,共計189人接受相關訓練,總訓練時數達94.5小時。
