資通安全

資通安全攸關企業的營業秘密能否完善保護，本公司制定資通安全政策，以確保資訊資產的機密性、完整性及可用性，對內亦採取具體防範措施以落實資通安全；資通安全為本公司的重大風險議題之一，由董事長為資通安全管理委員會召集人，授權資訊部主管為管理代表，推動資通安全管理及運作、重要資訊保護措施、災害演練與執行計畫等。若有特殊事件或措施，將須提報風險管理委員會執行相關計畫。

資通安全管理委員會下設兩個執行小組，分別為「資通安全小組」及「內部稽核小組」；由資訊部成立資通安全小組，制定資通安全政策暨執行計畫，並推動落實與檢討改善，每季向資通安全管理代表報告資通管理現況；另外由稽核室成立內部稽核小組負責稽核，每年定期執行至少1次抽核資通安全政策執行情形，追蹤改善計畫執行成效。

2024年資通安全小組設有3人，內部稽核小組設有1人，期間共召開1次資通安全會議；2次年度內部稽核分別於3月及5月進行，並無重大缺失；且年內並未發生重大資通安全違規事件。

資通安全組織架構

制定管理辦法

為健全資通安全管理制度，於2022年3月完成ISO 27001認證，藉由國際資安管理標準落實相關管理制度，以提升同仁資通安全意識，建立正確的電腦網路使用準則，已分別制定資政策及相關管理程序書如下：資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等22本程序書及說明書。

ISO 27001 證書

導入ISO 27001：合一生技於2021年規劃導入ISO 27001 Information Security Management System (ISMS)，確認導入驗證範圍後將進行落差分析與修正，包含系統與管理面；執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目，並完成相關文件建置，並已於2022年3月2日由國際驗證公司BSI 核發通過認證證書，證書效期至2025年3月1日止。

資訊技術

公司在資通安全防護上，建立軟體與硬體多層次防護，包含帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理、惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理等。
業務持續運作計畫(BCP)：當災害事件影響業務運作時得啟動此計畫，應變處理由資通安全小組統籌負責，確保資訊服務能於最短時間內回復至最低營運水準，以降低事件所造成之損失，每年至少演練1次，增進相關人員執行之熟練度，以確保計畫之有效性。已於2024年3月1日進行資訊災變演練，系統及資料庫經回復皆可正常運作。

推廣與改善

強化資通安全管理機制，並提升同仁資通安全觀念與強化自我保護意識，每年至少辦理1次資通安全管理審查會，針對年內相關資安制度與事件進行監督與管制，另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次。
2024年，辦理資通安全教育訓練共計3場次，內容包含「資通安全教育訓練(ISO 27001)」、「資通安全教育訓練-個人資料防護實務」、「管理講座-物聯網安全」等；另外執行1次電子郵件社交工程演練，以提升公司全體人員的資安意識。

加入資安聯防機制

為強化主動防禦策略，於2022年9月加入TWCERT/CC資安聯盟，TWCERT/CC透過與國內外CERT/CSIRT、資安組織、學研機構、民間社群、政府單位及私人企業間資安情資共享，提升國家整體資安聯防能量，共同維護臺灣整體網路安全。本公司不定期透過該平台進行網駭情資交換，期藉由該聯防機制，擴大公司資安防禦廣度。
漏洞分析(Vulnerability Analysis)：每年資通安全小組亦會針對本公司的資安系統進行漏洞分析，以確保設備機房、網際網路、EIP系統及辦公室環境之資通安全管理完善。本公司於2024年2月23日進行系統弱點掃描，並針對識別出的風險進行深入分析。後續依據分析結果，已制定並執行相應改善措施，以降低潛在威脅並提升系統安全性。

資通安全事件通報與應變流程圖

2024年資安教育訓練課程

註¹：全體員工/高風險員工或特定部門，以課程當月總人數計。

資訊安全管理成效表

※以上內容取自ESG報告書