| 資通安全管理

公司本年度因外部資安威脅升高與法規強化，將資安／隱私宣導涵蓋資訊安全、個資、社交工程防詐等主題，並由2025 年10 月起， 每月一次提高為每月兩次，以提升全員警覺及合規意識。

註:

1. 本表投入費用之數據與前一年度報告書不同，是因跨年度專案重新調整認列年月。
2. 2025 年起新增認列網域憑證購買費用，調整2023-2025 年間之費用。
3. 投入項目涵蓋：軟體維護與保固、硬體維護與保固、顧問費用、資安設備、辦公室系統。

2025 年未發生任何經證實之資料外洩事件，亦未收到
任何侵犯客戶隱私或遺失客戶資料的投訴案件

大世科深植「主動防禦、即時應變」的資安文化，透過資安監控中心（SOC）與端點防禦系統，建構全方位深縱防禦體系。2025 年度，本公司成功主動偵測並排除2,729 件第一級與第二級資安預警事件（含異常連線與惡意程式試探）；憑藉高效的監控機制，所有事件均於0.5 小時內 完成阻斷與處置，確保潛在威脅在觸及核心系統前即被攔截，無任何真實落地攻擊，亦未對營運造成任何中斷影響。
在客戶隱私保護方面，大世科嚴格遵守相關法規。本報導年度所有資安預警事件均未達到內部危機處理啟動條件，且無任何須通報主管機關之重大資安事故，充分展現本公司保障資訊資產與客戶數據安全的實力與承諾。
本公司近三年無違反資安或網路安全事件、無違反資料洩漏之事件、無侵犯客戶隱私或遺失客戶資料之投訴、無因資料洩漏而受影響的客戶與員工人數亦無因資訊安全或網路安全相關事件遭判罰之罰款金額等資安事件情形。

▼資安風險因應措施行動

風險因素: 資訊安全風險係指可能影響整體企業組織之資產、流程以及作業環境之威脅。

2025 年對公司之影響:

• 營運韌性與財務風險
• 客戶信任與商譽價值
• 供應鏈安全之連鎖反應
• 監管合規與治理績效

因應措施: 

深化資安治理層級與推動合規自動化管理：
• 健全治理體制：定期召開資安管理審查會議，滾動式修正資安管理目標(KPI)。每年固定向董事會報告年度風險評鑑清冊、目標執行進度及未來策略資源規劃，確保決策層能精準掌握公司之數位韌性水準並提供實質支持。
• 推動合規自動化： 運用數位化工具管理ISO 27001（資訊安全）、ISO 27701（隱私保護）及 ISO 20000-1（服務管理）之合規要求，實現文件版本控管自動化與稽核紀錄即時化，有效降低人為疏失風險並確保政策落實之連續性。建立KPI 指標追蹤機制，定期檢視達成率與改善方向。
• 法規動態接軌： 建立資安風險小組追蹤國內外資安與個資法律變動（如台灣《個資法》修正案及國際 GDPR 趨勢），將最新合規要求即時轉化為內部標準作業程序（SOP）。

建構主動式多層次聯防體系與零信任架構：
• 落實零信任架構 (Zero Trust)： 全面推動身分驗證、設備合法性與存取權限的動態評估。遵循「永不信任、始終驗證」原則，確保內外部連線皆需經過嚴格的權限審核，降低內網橫移攻擊之風險。
• AI 驅動資安監控： 透過資安事件管理系統（SIEM）整合 EDR 端點防護與網路防火牆，建置 AI 驅動的自動化威脅曝險管理平台。輔以 7x24 小時 SOC 資安監控服務，在攻擊發生的第一時間實現秒級偵測、判讀與聯防阻斷。
• 主動式漏洞管理： 定期執行涵蓋全體關鍵系統的弱點掃描、滲透測試及紅隊演練。結合 TWCERT/CC 與原廠威脅情資平台（TIP），在漏洞尚未被利用前即完成修補，將被動防禦轉化為主動防禦，強化系統本質安全。

強化供應鏈數位韌性與生態系安全合作:
• 供應商資安風險評估： 建立標準化的供應商資安評級體系，針對不同級別的合作夥伴執行分級管理。對於關鍵供應商，採取年度書面審查或實地稽核機制，確保其資安與隱私防護水準符合本公司要求。
• 合規約束與風險轉嫁： 於採購合約中嚴謹修訂資安與保密條款，明訂資安事件發生時的通報時效與賠償責任。建立跨組織的資安緊急通報窗口，確保在供應鏈發生資安危機時，能透過情資共享與聯防機制，快速隔離風險，維護整體的供應鏈韌性。

型塑專業主動的資安文化與全民防線：
• 分層分級專業培訓： 針對一般員工進行生活化、案例化的資安宣導；針對資安專業人員提供 ISO 稽核員或專業技術證照培訓；針對管理層則著重於決策層級的治理思維。透過多維度的課程設計，全面提升組織內部的專業知能。