資訊安全政策及管理方案

GRI 2-23, 418-1;
SASB TC-SI-220, 230, 550
資訊安全政策與管理

精誠資訊為台灣資訊服務產業指標企業,重視內外部利害關係人權益保障。透過持續強化資訊安全與隱私保護、並精進整體資訊安全治理之運作機制及推動相關防護作為,藉此降低內外部利害關係人可能面臨之資安與隱私侵害之風險。精誠資訊遵循國際資安與隱私保護管理標準,包含ISO 27001資訊安全管理系統、ISO 27701等多項ISO標準。為持續優化整體資訊安全治理,精誠資訊成立推動資訊安全之專責單位「資通安全管理處」,負責建立並維護符合國際標準與法令法規之資訊安全管理制度,如精誠集團資訊安全政策》及《精誠集團資訊安全管理辦法》。此外,精誠資訊定期實施資安事件因應措施演練,並規劃與執行人員資訊安全教育訓練,以持續落實相關管控與防禦措施。

精誠資訊重視客戶權益,對於資訊服務提供、建置、管理及維運等控管,係依據產品與服務性質所衍生之作業方式與服務流程,依其需要提供完善機制與申訴程序。如:因應金融產業之服務特性,設立客服中心以提供金融相關產品之客戶服務;產品與系統維護設有線上服務支援中心,提供客戶高品質的支援服務。

資訊安全政策

資訊安全管理架構

為確保資訊安全管理運作機制符合國際標準,精誠積極導入國際認證標準驗證,並持續通過第三方獨立單位查驗的資安相關ISO 認證。

  • 精誠資訊
    ISO 9001 (DMIS):有效期限 2024/12/12-2027/12/11
    ISO 22301 (DMIS):有效期限 2023/5/24-2026/5/23
    ISO/IEC 27001: 2022:有效期限 2025/1/5-2028/1/4
    ISO/IEC 27001: 2022 (DMIS):有效期限 2025/1/1-2027/12/31
    ISO/IEC 27001: 2022 (Data Center):有效期限 2024/5/3-2027/5/2
    BS 10012 (DMIS):有效期限 2024/1/31-2027/1/30
    PCI-DSS:有效期限 2025/12/29-2026/12/28
  • 精誠軟體服務
    ISO/IEC 27001: 2022 (UKAS):有效期限 2024/10/27-2026/8/25
    ISO/IEC 27701: 2019:有效期限 2024/11/21-2026/8/25
  • 鼎盛資科
    ISO/IEC 27001: 2022 (UKAS):有效期限 2024/8/16-2027/8/16
  • 奇唯科技
    ISO/IEC 27001: 2022:有效期限 2023/8/28-2026/8/27
    ISO/IEC 27701: 2019:有效期限 2025/7/1-2028/6/30
  • 精誠隨想行動科技
    ISO/IEC 27001: 2022:有效期限 2024/09/26-2027/09/25
  • 康和資訊系統
    ISO/IEC 27001: 2022 (UKAS):有效期限 2025/9/3-2027/9/7
  • 精誠科技整合
    CNS 27001: 2023 (TAF):有效期限 2025/6/11-2027/7/8
    ISO/IEC 27001: 2022 (UKAS):有效期限 2025/6/11-2027/7/8
    ISO/IEC 27701: 2019:有效期限 2025/6/11-2027/7/8
  • 泰鋒電腦
    ISO/IEC 27001: 2022:有效期限 2025/10/22-2027/1/5
  • 宜誠資訊
    ISO/IEC 27001: 2022:有效期限 2024/09/12-2027/09/11
  • 台灣資服科技
    CNS 27001: 2023 (ISO/IEC 27001: 2022) (TAF):有效期限 2023/7/2-2026/7/1
    ISO/IEC 27001: 2022 (DAKKS):有效期限 2023/7/2-2026/7/1
    ISO/IEC 27701: 2019:有效期限 2023/7/2-2026/7/1
  • 智慧資安
    ISO/IEC 20000-1: 2018:有效期限 2025/2/4-2028/1/11
    ISO/IEC 27001: 2022 (TAF):有效期限 2025/1/6-2028/1/6
    ISO/IEC 27001: 2022 (UKAS):有效期限 2025/1/6-2028/1/6
    ISO/IEC 27701: 2019 (UKAS):有效期限 2025/1/6-2028/1/6
  • 凱信資訊
    ISO/IEC 27001: 2022 (TAF):有效期限 2024/4/30-2027/4/29

資安證照

精誠持續強化資訊安全管理,確保資料、系統、設備、網路安全,並保障人員安全、法令遵循、客戶權益及個資保護等。陸續推出的資訊安全相關服務也持續導入ISO 27001驗證,完善整體資安服務能量。除了實施公司層級ISO 認證,精誠亦積極鼓勵同仁學習與精進資安相關證照,2025年全集團同仁新取得證照124張 (含ISO 27001、ISO 22301、CCSP、CISSP、CISM、CEH、CND…等),集團同仁累計取得符合資通法規範之有效資安證照共605張。

2025同仁新取得資安證照

124

至2025年底集團同仁累計取得有效資安證照

605
資訊安全專責管理單位

面對資訊安全推動及風險管理議題,精誠於2023年12月成立「資通安全技術處」作為資訊安全專責管理單位,2025年更名為「資通安全管理處」;此外,「資安暨個資危機處理小組」作為風險管理委員會下設任務編組單位,負責定期向風險管理委員會匯報資安風險管理執行成效,2025年共召開12次專案會議

精誠定期召開會議檢視是否發生資安事件,評估該事件對公司造成之影響與風險,提出具體改善計畫並持續追蹤改善情形。精誠在機敏的資訊服務上,每半年委由外部單位執行一次弱點掃描,確保中高風險弱點均完成修補或評估,其他風險則按影響情形視情況進行修補排程,並進行追蹤檢討。2025年延續往年的風險評估作業,針對中高風險弱點已完成修補或評估。針對低風險項目則交由相關單位依決定的控制調整進行處理,並列入後續的追蹤及回報作業。

緊急應變事件職責

持續協助第一線進行數位鑑識,包含現場數位證據之保全、擷取驗證、檢查分析及鑑識分析等。

  • 協助第一線單位於最短時間內完成數位證據之蒐證
  • 調查評估個資侵害事件範圍及其嚴重程度
  • 判斷是否邀集外部顧問、數位鑑識專家協助處理
資訊安全管理機制
資安事件

2025年發生之資安監控告警,絕大部分為用戶瀏覽下載期間,已被用戶端防毒系統阻隔,無真實落地攻擊;或是在縱深防禦的安控機制下受到保護,未達到內部啟動資安危機處理機制之條件,也未達到法定通報主管機關之等級。在2025年未發生任何經證實違反資料洩漏之資安事件

資安管控機制
重大事件應變流程

當精誠資訊之監控中心或機房等單位進行重大事件通知時,將立即啟動緊急應變作業及召集危機處理小組,在調查事件與提出解決措施時,同步確認事件等級與影響範圍,並決定與執行緊急應變措施,於事件處理完成後後執行損害控制作業,並完整記錄事前、事中及事後之相關處理情形。

資安證照

精誠持續落實資訊安全管理機制,依循ISO 27001 資訊安全管理系統標準,建構公司資安管理系統機密性、完整性及可用性,規劃事前預防、過程監控到緊急應變的管理作為,以確保資訊安全風險管理有效性。

除了實施公司層級ISO 認證,如:ISO 9001、ISO 20000-1、ISO 27001、ISO 27701、ISO 22301、BS 10012,精誠亦積極鼓勵同仁學習與精進資安相關證照,2025年同仁新取得證照124張 (含ISO27001、ISO23301、CCSP、CISSP、CISM、CEH、CND…等)。截至2025年底,集團同仁累計取得符合資通法規範資安證照共605張

2025同仁新取得資安證照

124

至2025年底集團同仁累計取得有效資安證照

605
資安技術與管控作為
定期實施各項危機處理演練

為使發生緊急資安危機能迅速應對,資通安全管理處設置5大面向演練,包括社交工程演練、弱點掃描、機房防災演練、滲透測試、營運持續演練,每年皆定有期規劃演練,對象涵蓋精誠集團台灣各子公司、機房、共用資訊系統等。2025年5大面向演練全數完成,並配合客戶執行供應商資安實地查核超過100場次、支援子公司ISO 27001驗證、精誠NOC ISO 27001內部稽核,及完成回覆客戶供應商稽核問卷逾1,000份

【社交工程演練】為持續增進員工對郵件安全意識,每年實施兩次演練,2025年提高社交工程演練頻率,共計4次演練,演練測試結果均符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定,惡意郵件開啟率與連結點擊率結果均符合合格率目標 (8%, 6%),歷年演練已逐漸降減整體點擊惡意郵件情形,顯示資安意識的提升。

  • 2025 第一季集團演練測試3,943個帳號:惡意郵件開啟率2.71% 、惡意郵件連結點擊率 2.38%
  • 2025 第二季集團演練測試3,980個帳號:惡意郵件開啟率2.74% 、惡意郵件連結點擊率 2.04%
  • 2025 第三季集團演練測試4,009個帳號:惡意郵件開啟率3.37% 、惡意郵件連結點擊率 2.59%
  • 2025 第四季集團演練測試3,995個帳號:惡意郵件開啟率0.63% 、惡意郵件連結點擊率 0.48%

【機房防災演練】以機房模擬發生火災演練為例,當演練情境設定為機房發生火災時,各相關人員需依程序採取相對應的緊急應變作為,例如模擬人員疏散至指定的避難集合地點、即時向單位主管及消防自衛編組指揮官回報災情狀況等。此外,各機房使用單位代表也會每週進行例行檢查,針對消防設備、環境溫度、監視器系統等項目進行檢核,並填具檢核紀錄至測試機房管理網站,以利統計安檢異常類別及發生據點。

2025各項演練執行成效

項目 頻率 對象 執行完成內容
社交工程演練 每年4次 集團台灣子公司 2025.03
第一季演練
  • 針對台灣子公司共計3,943帳號進行測試演練,未通過者安排資安教育訓練。
  • 本次演練「惡意郵件開啟率2.71%」,通過合格率8%標準*1
  • 本次演練「惡意郵件連結點擊率2.38%」,通過合格率6%標準*1
2025.05
第二季演練
  • 針對台灣子公司共計3,980帳號進行測試演練,未通過者安排資安教育訓練。
  • 本次演練「惡意郵件開啟率2.74%」,通過合格率8%標準*1
  • 本次演練「惡意郵件連結點擊率2.04%」,通過合格率6%標準*1
2025.08
第三季演練
  • 針對台灣子公司共計4,009帳號進行測試演練,未通過者安排資安教育訓練。
  • 本次演練「惡意郵件開啟率3.37%」,通過合格率8%標準*1
  • 本次演練「惡意郵件連結點擊率2.59%」,通過合格率6%標準*1
2025.11
第四季演練
  • 針對台灣子公司共計3,995帳號進行測試演練,未通過者安排資安教育訓練。
  • 本次演練「惡意郵件開啟率0.63%」,通過合格率8%標準*1
  • 本次演練「惡意郵件連結點擊率0.48%」,通過合格率6%標準*1
弱點掃描 每年2次 資訊系統、公開網站
  • 2025.04 第1次弱掃。
  • 2025.09 第2次弱掃。
機房防災演練 每年2次 集團各測試機房
  • 2025.04 機房防災 (停電) 演練。
  • 2025.09 機房防災 (設備遺失) 演練。
滲透測試 每年1次 公開網站
  • 2025.07 完成率100%。
營運持續演練 每年1次

集團共用資訊系統
  • 2025.10 完成率100%。

註:依「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定進行演練。

資安亮點成果
  • 精誠外部資安評級 (Security Scorecard) 等級保持Level A。
  • 精誠外部資安評級 (Bitsight) 等級為Intermediate,持續提升分數。
  • 提高社交工程演練頻率,由每年2次提升至每年4次。
  • 偕同外資券商的客戶共同進行營運持續演練1次。
  • 目前已完成規劃2026 年「社交工程演練」、「機房防災演練」、「滲透測試」、「弱點掃描」等相關資安檢測執行時程。
資訊安全教育訓練

為強化同仁資訊安全意識,2025年持續實施資訊安全相關教育訓練。

  • 【全體同仁】實施2次資訊安全宣導及測驗,共宣導7,866人次、完訓率99.5%。
  • 【全體同仁】實施資訊安全通識3小時線上課程,共培訓4,618人次、累計訓練13,664小時。
  • 【專案同仁】實施資訊安全進階2小時線上課程,共培訓1,281人次、累計時數4,371小時。
  • 【專案同仁】實施資訊安全專業9小時線上課程,共培訓604人次、累計時數5,429小時。
  • 【資安種子】實施進行資安種子專業訓練實體課程,共培訓936人次、累計時數10,009小時。
  • 【全體同仁】進行資安其他通識課程,共培訓962人次、累計時數931小時。

2025全集團同仁
資訊安全宣導及測驗

7866

2025全集團同仁
資安通識線上課程3小時

4618
13664

2025專案同仁
資安進階線上課程2小時

1281
4371

2025專案同仁
資安專業線上課程9小時

604
5429

2025資安種子
專業訓練實體課程

936
10009

2025全集團同仁
資安其他通識課程

962
931