資訊安全管理

資通安全風險管理架構

　　明基醫在109年，由勤業眾信會計師事務所輔導之下，以ISO27001 PDCA循環及美國CSF網路安全框架的五大構面(識別、保護、偵測、回應與復原)，透過現況了解及風險評估，開始導入資訊安全管理制度。110年成立資安管理委員會及資安推行小組；資安委員會主要審查公司資安政策、檢視公司資安管理機制；由總經理擔任召集人，公司治理主管擔任副召集人，資安專責主管及委員負責資安管理的範疇、政策；資安推行小組主要確保資安任務及作業正常運行，包括了技術小組、教育訓練小組、稽核、文管以及各事業處及各部門主管。同時每年進行資安風險評估、識別並降低潛在威脅。

資通安全政策

　　為妥善保護本公司資訊安全管理體系內之資訊資產，對於資訊資產訂定及落實相關規範並執行風險評鑑程序，以確認資訊資產的風險水準，透過風險評鑑結果以及內部會議決定風險事項之處理措施，以達到風險能有效降低、移轉、消除甚至接受該風險。

　　每年會檢視各項法規及評估公司內部的資訊安全規章以確保符合法規及有效性，並定期宣導相關資安規章，避免同仁違反內部規範造成公司損害；在供應鏈環境，要求與第三方服務廠商簽訂合約，有要求其遵守保密及網路安全規定。本公司亦定期舉辦電子郵件社交工程演練，對員工進行電子郵件收發等相關資訊安全知識之教育訓練，以降低員工誤點擊惡意郵件之風險。透過各類課程的進行，除提升同仁資訊安全意識，亦確保資訊安全觀念能融入日常作業中。

具體管理方案

l 制定資訊安全管理制度，涵蓋存取控制、資料分類與保護、風險管理等；設置資安專責主管，並建立定期報告機制；定期檢視與更新資安政策，確保符合新興威脅與法規變更。

l 採用ISO 27005 或 NIST RMF（風險管理架構）進行風險評估與管理，定期執行滲透測試與弱點掃描，建立風險應對機制（如風險轉移、風險降低、風險接受）。

l 部署多因素驗證（MFA），確保使用者身份安全；建立存取控制清單與角色權限管理；定期審查與移除未使用的帳號，降低內部威脅風險。

l 部署防火牆（Firewall）、入侵偵測/防禦系統（IDS/IPS），防範外部攻擊；使用端點安全解決方案（EDR/XDR），提升裝置的安全監控能力；透過資料定期備份及還原演練機制，確保關鍵數據之完整性。

l 設立SOC（Security Operations Center），即時監控與回應安全事件；導入SIEM（Security Information and Event Management）進行威脅分析；制定資安事件通報程序，確保標準化的應變流程。

l 定期舉辦資安意識培訓，及社交工程演練，提升員工識別惡意郵件的能力。

投入資通安全管理之資源

資訊安全為公司營運重要議題，對應資安管理事項及投入之資源方案如下：

l 於112年6月及10月申報設置資安專責主管1名及資訊安全人員1名，資安專責主管負責公司資訊安全規劃、技術導入與相關的事項，以維護及持續強化資訊安全。審視資安相關風險，每年於風險控管理委員會提出，每季追蹤相關改善進度。

l 每年與集團共同投保資安險，作為面對資安威脅之風險管理解決方案之一，保額為一千五百萬美元。

l 每月向集團資安長進行工作報告，同時加入集團資安專家組織，每季依資安不同面向之主題進行分享及了解，偕同集團資安團隊協助子公司提供諮詢及建議。

於113年10月30日向董事會報告113年度投入資通安全管理之資源及執行成果如下：

l  無重大資安事件，無違反客戶資料遺失之投訴案件。

l 113年完成278人線上資訊安全教育訓練及考核；執行兩次社交工程釣魚郵件測試。

l 製作超過五份資安公告，傳達資安防護重要規定與注意事項。

l 113年與集團共同執行12次資安工作彙報及4次依資安議題分享討論。