隨著數位化時代來臨，商業活動日趨複雜，資安威脅日益嚴峻，如何在此變局中維持企業永續競爭力，成為世界各大企業面臨之重要課題。遠東新世紀因應資安管理需求趨動，並依據《公開發行公司建立內部控制制度處理準則》及《上市上櫃公司資通安全管控指引》，於2022年成立資訊安全處及資安長職務推動各項資安管理工作，展現遠東新世紀積極落實資安防護決心。

建構強韌資安防護組織

1.設置資訊安全處專責推動資安管理工作

遠東新世紀於2022年11月9日經董事會通過，成立資訊安全處。資訊安全處專責推動資安管理工作，包括制訂與追蹤資安關鍵績效指標、資安維護以及教育訓練等，結合既有之資訊中心，共同負責本公司資安管理作業。

資訊安全管理組織架構
 

 

2.成立資通安全聯防推動小組及委員會

為強化與推動資安管理工作，本公司成立「資通安全聯防推動小組及委員會」，其中資訊安全處負責推動資安管理、資安監控與新興科技應用等工作，並由各單位組成資安聯防小組，目前涵蓋單位為行政總部人力資源處、會計處、財務處、法制室、秘書處、國際事務處、安全衛生處等，以及董事長辦公室，由各單位資安人員協助推動與落實各項資安工作，建構跨單位的資安整合防護架構。稽核處針對資安工作進行內部稽查，確保資安治理符合法規要求與內部控制制度，資訊中心負責資安設備維護工作。

3.成立集團資訊安全專門委員會

2023年12月，本公司聯合遠傳電信、亞洲水泥、遠東商銀等多家集團關係企業，共同籌組「資訊安全專門委員會（Information Security Sub-Committee，ISSC）」，並於2024年展開運作，除了負責協調集團資訊安全聯防事務與資源運用，也透過資安政策交流、緊急事件應變支援、技術設備引進以及人才培育，全面提升資安防護效能，發揮集團綜效。

 

強化資安管理機制

1.整合資訊安全管理系統（ISMS）與企業營運持續管理（BCM）

本公司與其海外子公司自2014年起導入「ISO 27001資訊安全管理系統」，針對資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等制訂具體管理方案，並自2016年起每三年進行外部機構驗證，於2022年取得ISO 27001：2013認證，證書效期至2025年9月。鑒於資訊安全環境快速變化，本公司積極接軌國際最新資安標準，於2024年7月提前完成ISO 27001：2022轉版認證，展現對資安防護的高度重視。本公司持續落實PDCA（Plan-Do-Check-Act）目標式管理循環推動資安管理制度，同時致力於學習並採用NIST資訊框架，強化網絡安全。

本公司積極推動「ISO 22301營運持續管理系統」，子公司上海遠資信息技術於2023年12月，取得ISO 22301：2019證書，證書有效期至2026年12月。此認證整合資訊安全管理系統（ISMS）與企業營運持續管理（BCM），形成全面性的安全與營運體系，顯示本公司對營運持續及資訊安全的雙重承諾。

2.建置資安事件處理標準程序

本公司已加入「台灣CERT/CSIRT聯盟」、「SP-ISAC」（註1）及「台灣資安主管聯盟」，並建置資安事件處理標準程序，明訂相關流程與措施，包含通報處理程序及對應人員之職責，目標於最短時間內排除資安事故，並根據事故發生原因提出矯正預防計畫。2024年本公司無發生重大資安事故（註2），亦無資安事件造成之財務損失。同時，強化員工密碼管理與公司機密資料保護機制，並確保客戶隱私資料安全，全年未發生任何客戶隱私資料外洩情形。

註1：電腦緊急應變小組（Computer Emergency Response Team, CERT）、電腦資安事件應變小組（Computer Security Incident Response Team, CSIRT）、科學園區廠商服務網（Science Park Information Sharing and Analysis Center, SP- ISAC）
註2：重大資安事故定義依據臺灣證券交易所公布之《上市公司重大訊息發布應注意事項參考問答集》

3.落實資訊安全事故通報暨處理

導入資安事件監控服務，整合來自多種資安設備所產生的日誌記錄，如防火牆、入侵偵測系統、防毒軟體系統及端點偵測與回應，進行偵測、蒐集、分析和管理網路安全事件，以有效回應潛在的網路攻擊。落實統一彙整各種資安訊息，提供事前威脅的預警資訊、事中威脅的即時警告以及事後威脅的分析，有效管理各種資安警訊，確保發生資訊安全事故時有所依循，降低對關鍵資訊系統與重要資訊資產及作業的危害與損失。

4.推動供應鏈資訊安全管理

遠東新世紀為強化供應鏈資安防護韌性及建構安全可信賴之資安防護網，參酌《上市上櫃公司資通安全管控指引》制訂《遠東新供應商資通安全條款同意書》，另透過盤點核心系統並設計評級矩陣，將資通訊核心系統供應商資安成熟度依管理能力、防禦能力、偵測能力及反應能力分級，作為供應商管理之參考依據，一旦供應商發生資安事件，將即時觸發遠東新世紀的資安防護機制並全程監控。

落實人員資訊安全管理及訓練

1.資安教育訓練

本公司積極投入資安教育訓練，強化員工資安認知，同時也要求系統開發者及管理者遵循系統建置及安全管理之規範，降低資安風險。為提升全體員工對資安風險的認識與應對能力，2024年，本公司資安專責單位共計舉辦8場次專業資安教育訓練，達1,074人次參與，涵蓋實體、線上直播與數位課程等多元化訓練管道。資安課程亦針對不同層級及業務需求設計，提供客製化授課內容與案例分享，內容包括雲端服務安全管理、新興科技資安風險、物聯網資安控管以及作業層面所面對之資安風險等，培養全體員工資安意識。

2.社交工程演練

為提升全體員工資安防護能力，2024年總計針對近兩百位同仁進行釣魚郵件演練，模擬真實的網路攻擊情境，以加強對社交工程威脅的應變意識。演練結果顯示，多數同仁對於郵件內容保持警覺，並未給予信件內容回應，但仍有少部分同仁點擊郵件內連結並回覆個人資訊，針對此情況，給予相關同仁額外教育訓練，強化資安意識。