隨著企業數位化程度持續提升，商業活動與供應鏈運作日益複雜，資安威脅已成為影響企業營運穩定與永續競爭力的關鍵風險之一。如何在快速變動的數位環境中確保營運持續性與風險可控，已成為全球企業治理的重要課題。

遠東新世紀前瞻因應資安治理需求，依循《公開發行公司建立內部控制制度處理準則》及《上市上櫃公司資通安全管控指引》，於2022年正式成立資訊安全處並設置資安長職務，以組織化、制度化方式推動資安治理與風險管理，將資訊安全納入公司整體治理與內控架構，持續強化企業數位韌性，展現公司對資安防護與永續經營的高度重視與長期承諾。

建構強韌資安防護組織

1.設置資訊安全處專責推動資安管理工作

遠東新世紀於2022年11月9日經董事會通過，成立資訊安全處。資訊安全處專責推動資安管理工作，包括制訂與追蹤資安關鍵績效指標、資安維護以及教育訓練等，結合既有之資訊中心，共同負責本公司資安管理作業。

資訊安全管理組織架構
 

 

2.成立資通安全聯防推動小組及委員會

為強化與推動資安管理工作，本公司成立「資通安全聯防推動小組及委員會」，其中資訊安全處負責推動資安管理、資安監控與新興科技應用等工作，並由各單位組成資安聯防小組，目前涵蓋單位為行政總部人力資源處、會計處、財務處、法制處、秘書處、國際事務處、安全衛生處及董事長辦公室等，由各單位資安人員協助推動與落實各項資安工作，建構跨單位的資安整合防護架構。稽核處針對資安工作進行內部稽查，確保資安治理符合法規要求與內部控制制度，資訊中心負責資安設備維護工作。

3.成立集團資訊安全專門委員會

2023年12月，本公司聯合遠傳電信、亞洲水泥、遠東商銀等多家集團關係企業，共同籌組「資訊安全專門委員會（Information Security Sub-Committee, ISSC）」，並於2024年展開運作，除了負責協調集團資訊安全聯防事務與資源運用，也透過資安政策交流、緊急事件應變支援、技術設備引進以及人才培育，全面提升資安防護效能，發揮集團綜效。

強化資安管理機制

1.整合資訊安全管理系統（ISMS）與企業營運持續管理（BCM）

本公司與其海外子公司自2014年起導入「ISO 27001 資訊安全管理系統」，針對資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等制訂具體管理方案，並自2016年起每三年進行外部機構驗證。鑒於資訊安全環境快速變化，本公司積極接軌國際最新資安標準，於2024年7月提前完成ISO 27001：2022轉版認證，證書效期至2028年9月，展現對資安防護的高度重視。本公司持續落實PDCA（Plan-Do-Check-Act）目標式管理循環推動資安管理制度，同時致力於學習並採用NIST（National Institute of Standards and Technology）資訊框架，強化網絡安全。

本公司積極推動「ISO 22301 營運持續管理系統」，子公司上海遠資信息技術於2023年12月，取得ISO 22301：2019證書，證書有效期至2026年12月。此認證整合資訊安全管理系統（ISMS）與企業營運持續管理（BCM），形成全面性的安全與營運體系，顯示本公司對營運持續及資訊安全的雙重承諾。

2.建置資訊安全事件處理標準程序

本公司已加入「台灣CERT/CSIRT聯盟」、「SP-ISAC」^（註1）及「台灣資安主管聯盟」，並建置資安事件處理標準程序，明訂相關流程與措施，包含通報處理程序及對應人員之職責，目標於最短時間內排除資安事故，並根據事故發生原因提出矯正預防計畫。

2025年本公司無發生重大資安事故^（註2），亦無資安事件造成之財務損失。同時，強化員工密碼管理與公司機密資料保護機制，並確保客戶隱私資料安全，全年未發生任何客戶隱私資料外洩情形。

2025年1月本公司接獲重要資通訊合作廠商通報，與本公司合作相關系統有資料外洩疑慮，本公司立即啟動緊急應變處理程序，完成相關防護措施，本事件未對公司營運及財務造成影響。

註1：電腦緊急應變小組（Computer Emergency Response Team, CERT）、電腦資安事件應變小組（Computer Security Incident Response Team, CSIRT）、科學園區廠商服務網（Science Park Information Sharing and Analysis Center, SP- ISAC）
註2：重大資安事故定義依據臺灣證券交易所公布之《上市公司重大訊息發布應注意事項參考問答集》

3.落實資訊安全事故通報暨處理

導入資安事件監控服務，整合來自多種資安設備所產生的日誌記錄，如防火牆、入侵偵測系統、防毒軟體系統及端點偵測與回應，進行偵測、蒐集、分析和管理網路安全事件，以有效回應潛在的網路攻擊。落實統一彙整各種資安訊息，提供事前威脅的預警資訊、事中威脅的即時警告以及事後威脅的分析，有效管理各種資安警訊，確保發生資訊安全事故時有所依循，降低對關鍵資訊系統與重要資訊資產及作業的危害與損失。

4.推動供應鏈資訊安全管理

遠東新世紀為強化供應鏈資安防護韌性，建構安全可信賴之資安防護網，參酌《上市上櫃公司資通安全管控指引》制訂《遠東新供應商資通安全條款同意書》，並透過盤點核心系統及設計供應商評級矩陣，依管理能力、防禦能力、偵測能力及反應能力等面向，將資通訊核心系統供應商之資安成熟度分級，作為供應商管理與風險控管之依據。

同時導入供應鏈資安監測機制，持續監測內外部供應商與合作夥伴之資安風險評級與外部曝險狀況，實現供應鏈風險可視化與量化管理。一旦供應商發生資安事件或風險評級異常，將即時觸發遠東新世紀資安防護機制並啟動全程監控與應變處置，以確保營運穩定與資訊安全。

落實人員資訊安全管理及訓練

1.資安教育訓練

本公司積極投入資安教育訓練，強化員工資安認知，同時也要求系統開發者及管理者遵循系統建置及安全管理之規範，降低資安風險。為提升全體員工對資安風險的認識與應對能力，2025年本公司人力發展中心與資安專責單位於海內外，舉辦專業資安教育訓練共計43場次、3,288人次參與，涵蓋實體、線上直播與數位課程等多元化訓練管道。資安課程亦針對不同層級及業務需求設計，提供客製化授課內容與案例分享，內容包括雲端服務安全管理、新興科技資安風險、物聯網資安控管以及作業層面所面對之資安風險等，培養全體員工資安意識。

2.社交工程演練

為提升全體員工資安防護能力，2025年總計針對2,085位同仁進行釣魚郵件演練，模擬真實的網路攻擊情境，以加強對社交工程威脅的應變意識。演練結果顯示，多數同仁對於郵件內容保持警覺，並未給予信件內容回應，但仍有少部分同仁點擊郵件內連結並回覆個人資訊，針對此情況，給予相關同仁額外教育訓練，強化資安意識。

以負責任AI 打造數位資安戰力

遠東新世紀除積極運用AI 推動各項營運與創新活動外，亦高度重視同仁於AI應用上的責任與治理，於2024年6月5日正式制訂並發布《生成式AI 使用守則》，明確規範使用原則、風險控管與倫理要求，確保AI發展與企業治理、法遵及永續目標一致。