資通安全

鑽石生技投資 > 企業永續 > 治理永續 > 資通安全

資通安全

資通安全

鑽石投資設置資通安全管理小組制定資通安全政策暨執行計畫,並推動落實與檢討改善;資通安全管理小組下設有內部稽核組,內部稽核組負責稽核,每年定期執行至少一次抽核資通安全檢查之控制情形,追蹤改善計畫執行成效。

資通安全風險管理架構

鑽石投資針對資通安全管理設置資通安全委員小組,設管理代表暨召集人1人,並建立資通安全組及內部稽核組,為資訊安全專責管理單位,每年向永續發展暨提名委員會及董事會報告資通安全管理執行狀況。 2024年執行情形已於2025年2月25日向永續發展暨提名委員會及董事會報告,2025年執行情形預計於2026年第一季的永續發展暨提名委員會及董事會進行報告。

資通安全組設置1位資訊安全專責主管及1位資訊安全專責人員,負責規劃、執行與控管資通安全相關工作,辦理各項風險評估、系統分級、系統安全控管措施及監督資通安全管理事項、制定與推動資通安全相關規範等。內部稽核組負責稽核,每年定期執行抽核資安政策執行情況,並追蹤缺失改善計畫執行成效。

2025年期間召開1次資通安全會議,年內並未發生重大資通安全違規事件。

資通安全目標

為維護資訊資產之機密性、完整性與可用性,本公司期藉由資通安全政策之實施以達成下列目標:

(一)
建立安全及可信賴之資訊化作業環境,確保本公司資料、系統、設備及網路之安全,以保障本公司業務永續運作。
(二)
保護業務服務之安全,確保資訊需經授權人員才可存取資訊,以確保其機密性。
(三)
保護業務服務之安全,避免未經授權的修改,以確保其正確性與完整性。
(四)
建立業務永續運作計畫,以確保資訊業務服務之持續運作。
(五)
確保各項業務服務之執行須符合政府相關法令(如:資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等)規範之要求。
(六)
為保護本公司業務相關個人資料之安全,免於因外在威脅,或內部人員不當之管理與使用,致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
(七)
提升對資訊資產之保護與管理能力,降低營運風險。

資通安全具體管理措施

一、

制定管理辦法
為健全資通安全管理制度,於2024年9月獲ISO 27001認證,藉由國際資安管理標準落實相關管理制度,以提升同仁資通安全意識,建立正確的電腦網路使用準則。已分別制定本公司資通安全政策及相關管理程序書如下:資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等相關程序書及說明書。

二、

資訊技術
本公司在資訊安全防護上,加強軟體與硬體方面多層次防護,其中包含:帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理/惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理及EDR(端點偵測與回應)等防護措施。2025年EDR部署範圍約為100%,未來將持續投入資源以維持EDR部署範圍。

三、

業務持續運作計畫(BCP)
當災害事件影響業務運作時得啟動此計畫,應變處理由資通安全管理小組統籌負責,確保資訊服務能於最短時間內回復至最低營運水準,以降低事件所造成之損失,每年至少演練1次,增進相關人員執行之熟練度,以確保計畫之有效性。已於2025年5月15日進行業務持續運作計畫演練,系統及資料庫經回復皆可正常運作。

四、

漏洞分析(Vulnerability Analysis)
每年資通安全管理小組亦會針對本公司的資安系統進行漏洞分析,以確保設備機房、網際網路、EIP系統及辦公室環境之資通安全管理完善。本公司於2025年6月11日進行系統弱點掃描,並針對識別出的風險進行深入分析。後續依據分析結果,已制定並執行相應改善措施,以降低潛在威脅並提升系統安全性。

五、

風險監控與事件應變處理制度
為強化資安風險管理及事件應變能力,本公司已導入 ISO 27001 ISMS 制度,建置並執行《資通安全風險評鑑與管理程序書》及《資通安全事件管理程序書》,透過制度化的監控與作業機制,持續執行資安風險評估、控管與改善行動,以提升對潛在威脅的識別與應變能力。
在風險監控方面,本公司制度化執行資訊資產鑑別、威脅與弱點評估,並以「資訊資產價值 × 威脅等級 × 弱點等級」計算風險值,與風險容忍值比對,若超出容忍範圍,將提出改善計畫並追蹤執行。風險評鑑每年至少進行一次,並於系統或環境變動時滾動檢視,以確保資產持續受到適當保護。
資安事件管理方面,事件依嚴重程度分為四級(1–4級),訂有通報、指揮與處置流程;第4、3級事件須於36小時內完成復原或損害管制,第2、1級則須於72小時內完成,並執行修復與預防措施,以確保即時應變與風險緩解。
此外,《資通安全事件管理程序書》第6.1.2.4條規定,必要時應與受影響使用者進行溝通說明,以確保資訊透明並強化利害關係人信任。

六、

推廣與改善
為提升同仁資通安全觀念與強化自我保護意識,每年至少辦理1次資通安全管理審查會,針對年內相關資安制度與事件進行監督與管制,另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次。2025年共計3場次全體員工資通安全宣導,包含【ISO27001資安防護與個資保護教育訓練】、【AI應用與資安防範課程】、以及【社交工程與密碼防護策略】等課程,2025年舉行至少資通安全宣導9次,強化員工資安意識、提升資訊安全防護觀念。此外,2025年共計執行2次電子郵件社交工程演練,成功通過釣魚測試為100%,未來將增加釣魚郵件的寄送樣態,若遭釣魚成功者,需再次接受資訊教育訓練,以提升公司人員資安意識。

七、

加入資通安全組織
已於2022年9月加入TWCERT/CC資安聯盟,不定期透過上述平台進行網駭情資交換,期藉由聯防機制,網駭情資共享,擴大公司資安防禦廣度,及強化資安韌性。

2025 年資通安全教育訓練統計

資安訓練課程名稱 課程對象(總人數) 參與人次 課程時數 涵蓋率*
ISO27001資安防護與個資保護教育訓練 全體員工(23人) 15 3 65
AI應用與資安防範課程 全體員工(24人) 22 3 92
社交工程與密碼防護策略 全體員工(23人) 21 1.5 91

*涵蓋率計算=參與人次/課程對象總人數

導入ISO27001 ISMS制度

為展現鑽石投資對於資安的重視程度,並期與國際資安標準接軌,已於2024年第二季啟動導入ISO 27001 Information Security Management System (ISMS),並於2024年4月成立資通安全管理委員會,2024年12月組織調整為通安全管理小組,由資安代表擔任小組召集人,並建立資通安全組及內部稽核組,為資訊安全專責管理單位,每年向永續發展暨提名委員會及董事會報告資通安全管理執行狀況。

2024年9月獲ISO27001驗證,包含系統與管理面;執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目,皆符合國際資訊安全管理規範。

鑽石投資於2024年9月取得ISO27001證書,認證期限自2024年9月10日至2027年9月9日止。並於2025年9月2日獲當年度續評驗證通過通知,證書持續有效。

資通安全管理成效表

分類 2025
重大資通安全事件發生件數 0
資料洩漏發生件數 0
因資訊洩漏致受影響的員工或客戶數(人) 0
因資安事件被裁罰的金額 (新台幣) 0

註:重大資通安全事件係依據金管會上市公司重大訊息發布應注意事項參考問答集之定義。