資訊安全風險管理
一、資通安全治理組織與架構
為了確保在資安策略上能建立一套嚴謹的準則、程序與法規、內部落實執行以及內控遵循機制,本公司成立「資訊安全指導委員會」,由總經理擔任主席,委員會成員由法務、人力資源、研究發展等最高主管、財務副總經理組
成,於2022 年度設置資訊安全長,並指派公司治理主管為觀察員,每半年召開會議,檢視及決議資訊安全與資訊保護方針及政策,以確保資訊安全管理措施的有效性。
委員會每年定期向董事會報告資訊安全管理成效與策略方向,確保資訊安全治理與公司營運目標一致。
最近一次於114年11月12日報告,以加強董事對公司營運的督導與管理。
二、資訊安全管理策略與架構 為有效落實資安管理,透過涵蓋台灣廠區與海外子公司各單位的「資訊安全工作推動團隊」,定期召開例行會議,依據規畫、執行、查核與行動
(Plan-Do- Check-Act, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期與委員會回報執行成效。
| 階段 | 重點內容 |
| 規劃(Plan) | 資安風險評估、對策制定、遵循國際標準(ISO/IEC 27001)、客戶資訊保護 |
| 執行(Do) | 多層防護、人員實體安全、帳號權限管理、資安監控維運、資料與網路安全 |
| 查核(Check) | 資安持續監控、量化評估、攻擊演練、成熟度評鑑、通過國際稽核 |
| 行動(Act) | 措施檢討改善、威脅技術掌握、違規與處置 |
三、資訊安全管理方案
1.本公司資訊安全權責單位為資訊部該部設置資安長乙名,資安主管乙名與專業資訊人員數名負責規劃、執行及推動資訊安全管理相關事宜,並加強全體同仁資訊安全意識。
2.本公司資訊安全監理之督導單位為稽核室,若有查核發現缺失即要求受查單位提出相關改善計畫,且定期追蹤改善成效以降低內部資安風險。
3.取得ISO/IEC 27001:2022 資訊安全管理系統認證,藉由外部證機構相關規範加強資訊安全管理。
4.公司同仁取得資訊安全管理系統稽核員證照,證書號碼GKSx4XA1fh。
四、資訊安全管理系統
1.分別於2025 年5 月與10月成功續審凱美、旺詮ISO 27001 資訊安全管理系統認證,展現對資安治理的高度承諾。
2.為提升防護能力,公司已導入MDR( Managed Detection and Response),提供持續監測威脅的能力。通過即時監控企業網路和系統,快速識別和分析潛在的威脅,確保企業能夠及時發現並應對安全事件,減少潛在的損失和停機時間。
3.資訊安全事件管理與檢舉機制
- 制定資訊安全事件通報與應變流程,當發生異常時,由資訊安全部統一受理,依標準作業流程進行調查、應變、回報及追蹤改善。
-設有檢舉信箱,鼓勵員工及利害關係人舉報資安違規或潛在風險。所有檢舉案件均由獨立單位調查,並保障檢舉人匿名與保密權益。
- 2025 年度,凱美電機未發生重大資安事件或資訊外洩。
4.資訊安全納入公司內部控制制度,並持續優化資訊資產盤點與風險評鑑流
程。
5.教育訓練:資安通識進行人員資訊安全教育訓練,提昇全體同仁資安意
識。由IT擔任內部講師提升集團
五、投入資通安全管理之資源
公司每年編列預算持續加強及更新資訊安全設備,確保使用最新資安防護技術以落實資訊安全保護,維持企業持續營運。
1.導入AI資安MDR系統進行企業內網自動資安風險盤點對全單位進行遠端事件調查、內部入侵行為分析。
2.升級次世代SOPHOS防火牆外網防禦、建置內部網路Checkpoint防火牆與IPS模組提升內網入侵防禦能力
3.預防勒索病毒破壞機敏資料進行321備份策略優化建置多樣備份方案投入資通安全管理設置成員為資訊單位兩名資安人員、113年度舉行相關會議開會次數6次。
4.本公司為台灣資安聯盟TWCERT、台灣資安主管聯盟成員,積極加強資訊安全管理。
5.於113年9月取得 ISO27001:2022 企業資安認證。
六、資安風險與因應措施 建構全方位資安防護系統,其運作如下:
1.即時威脅與端點防護整合:建置自動化資安監控系統,整合Teams T5 端點資訊安全系統,導入MDR(端點偵測與回應)技術,有效提升即時識別與回應安全威脅的能力,降低潛在風險,實現全面性資安防護管理。
2.網路安全強化:台灣總部網路防火牆高可用性(HA)架構與郵件防護架構,年度內成功阻擋近5,000 次重大外部網路攻擊,45,000封病毒與社交工程詐騙垃圾信件,提升網路與郵件防護能力。
3.社交工程演練 : 自建社交工程演練平台、年度完成凱美、旺詮員工共300人次社交工程演練訓練,提升同仁詐騙釣魚郵件分辨與防護能力
4.自動化監控機制:
- 導入集團各區資訊單位的機房網路系統自動化監控
- 每日自動產出涵蓋機房、系統、網路、資安等核心項目的資訊維運報表
- 透過全面性安全威脅監控與分析,提升資安團隊事件管理效率,有效降低人力資源負擔 七、資訊安全管理措施
| 類型 | 說明 | 相關作業 |
| 權限管理 | 人員帳號、權限管理及系統操作行為之管理措施 | a.人員帳號權限管理與審核。
b.人員帳號權限定期盤點。 |
| 存取管控 | 人員存取內外部系統及資料傳輸之控制措施 | a.內/外部存取管控措施。
b.以網路防火牆區隔內部/外部網路操作行為軌跡記錄分析。 |
| 外部威脅 | 內部系統潛在弱點、中毒管道與防護措施 | a.主機/電腦弱點檢測及更新措施。電腦病毒防護及病毒碼定期更新。 |
| 系統可用性 | 系統可用狀態與服務中斷時之處置措施 | a.網路/系統可用狀態監控及通報機制。服務中斷之應變措施。
b.資料備份備援措、本/異地備援機制。
c.定期災難還原演練 |
智慧財產管理計畫 為強化公司產品在產業的技術發展,並維護得之不易的先進技術成果,本公司擬定結合公司營運目標與
研發方向的智慧財產策略,藉由智慧財產權來強化公司更有價值的競爭優勢,保護公司營運自由幫助公司獲利。
1. 專利保護措施
本公司的智財管理策略主要包括專利版圖佈署戰略、戰鬥專利研發打造、專利申請版圖擴張與專利效益管理整編
等,透過專利評審機制、獎勵制度、宣導教育及人才培訓等執行層面的落實,保護公司研發成果及技術領先地位。
本公司為建構堅實的智慧財產權組合,對內,公司鼓勵創新機制,持續激勵員工提出發明申請;並經由管理的審查
機制來提升專利的申請質量與方向。對外,則與本地及國外主要市場所在地的專利主管機關進行密切聯繫與技術交
流,以提升審查效率並取得高品質專利保護。
2. 營業秘密保護
營業秘密攸關公司技術領先、創造卓越、客戶信賴等競爭優勢,不僅是著眼於智慧資產的保護,為全面有效地管理營
業秘密與保密措施,本公司藉由人員管制、系統管理與簽署保密合約等方式進行相關重要技術文件或資訊的管理。
如果本公司無法取得或維持特定的技術或智財的授權或未能防止本公司的智慧財產權被侵害,可能導致公司產品在銷
售上的阻礙,並同時減少營收與利潤時,可藉由營業秘密的管理與整合,有效的防範公司核心技術、資訊機密外洩,
以保障公司權益。
執行情形
本公司已將智慧財產相關事項提報第十八屆第三次(114年11月12日)董事會進行報告,並針對董事之建議提出改善措施。
本公司積極推動智慧財產管理計畫,主要執行情形如下:
至2025年取得智財清單與成果如下:
| 類型 | 台灣 | 外國 | 總計 |
| 發明 | 新型 | 發明 | 新型 | |
| 已獲證 | 2 | 0 | 10 | 14 | 26 |
| 申請中 | 2 | 0 | 0 | 14 | 16 |