▋管理政策

協易機械於2023年正式成立「資訊安全小組」，統籌資訊安全政策之規劃、執行與教育宣導，全面提升企業資訊安全防護能力。小組致力於建置與持續優化各項資訊安全防護機制，涵蓋從網路安全、端點設備、使用者行為到資料備份等層面，建構多層次、縱深式的防禦架構。資訊安全治理小組，結構如下：

資訊安全小組定期推動資通安全訓練與社交工程演練，提升全體員工對潛在風險的敏感度與應變能力。透過縝密的規劃與持續性的改善措施，確保公司資訊系統能在穩定、安全的環境下運作，進而打造一個可信賴且具韌性的資訊作業環境，支撐企業永續經營目標。

▋資通安全措施及成果

▌資通安全措施

1. 網路安全控管
   ．架設防火牆防止外部攻擊。
   ． 設置 WAF 防護。
   ． 嚴禁非公司的資訊設備使用公司內部網路。
   ． 管控公司內部無線網路(WIFI)連線機制。
2. 端點防護
   ． 定期更新 Windows Update 及防毒軟體病毒碼。
   ． 管控 USB 等相關存取媒體設備。
   ． 管控商業軟體版權及安裝。
   ． 定期執行系統弱點掃描，找出潛在危機。
3. 使用者帳號控管
   ． 公司員工入職/離職帳號管控。
   ． 開啟員工帳號多因素驗證(MFA)，推動零信任架構。
4. 資料備份控管
   ． 制訂完善的備份機制並每日進行備份。
   ． 定期實施備份還原 & 驗證檔案正確性。
5. 資訊緊急應變措施
   ． 每年定期實施 DR 演練計畫。
6. 員工資安管理與教育宣導
   ． 每月定期進行資通安全宣導。
   ． 每年定期實施社交工程演練提升員工資安意識。
   
   

▌資訊安全管理方案及資源投入之成果

• 2024年公司無資訊安全事件。
• 強化集團公司異地備份機制。
• 強化集團公司網路設備備援機制。
• 舉辦2場資通安全教育訓練：出席率96%。
• 每月定期進行資通安全宣導。
• 定期進行社交工程演練 ：99%員工達成目標。
• 定期進行系統災難復原演練。
• 定期進行系統弱點掃描。
• 資訊安全人員每年完成外部資安課程(16小時)： 達成率100%。
  
  

▌ 2025年資通安全計畫

• 網路安全控管：透過防火牆與WAF防護，防止外部攻擊入侵；同時嚴格管控內部網路與無線連線驗證機制，禁止非公司資訊設備連接公司網路。
• 端點防護：定期更新作業系統與防毒程式、限縮外接裝置使用，並加強商業軟體管理與系統弱點掃描。
• 帳號與權限管理：建立員工帳號進出管控流程，並全面導入多因素驗證(MFA)，推動「零信任架構」以降低風險。
• 資料備份與還原機制：每日執行備份作業，並定期驗證備份檔案正確性與可還原性，確保資料可持續性。
• 資安事件應變與演練：每年定期實施災難復原(DR)演練，以提升緊急應變能力。
• 員工資安教育：持續進行每月資安宣導及每年社交工程演練，強化員工資安意識與應對能力。

協易將持續以高標準落實資訊安全政策，確保企業營運穩定與客戶資料安全。