資通安全管理

資通安全風險管理架構

• 中天生技針對資通安全管理責由資訊部成立資通安全委員會，由董事長擔任召集人，並立資通安全管理代表一職，委員會下設資通安全小組及內部稽核小組，共同制定資通安全政策(以下簡稱本政策)暨執行計畫。資通安全小組每季向資通安全管理代表報告公司資安管理現況，每年檢討資安政策。另外由內部稽核小組(稽核室)負責稽核，每年定期執行抽核資安政策執行情況，並追蹤缺失改善計畫執行成效。
• 2022年資通安全小組設有2人，內部稽核小組設有2人，期間召開1次資通安全會議，年內並未發生重大資通安全違規事件。

中天生技資通安全政策共包含下列三個方針:

1. 制定管理辦法
   用以標準化規範同仁行為準則。
   
2. 資訊技術
   導入先進軟硬體，有效防止資安事件。
   
3. 推廣與改善
   提升同仁資安觀念與強化自我保護意識，並不斷修正日新月異的資安執行政策。

為維護中天生技資訊資產之機密性、完整性與可用性，中天生技期藉由資通安全政策之實施以達成下列目標：

1. 建立安全及可信賴之資訊化作業環境，確保本公司資料、系統、設備及網路之安全，以保障本公司業務永續運作。
2. 保護本公司業務服務之安全，確保資訊需經授權人員才可存取資訊，以確保其機密性。
3. 保護本公司業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。
4. 建立本公司業務永續運作計畫，以確保本公司資訊業務服務之持續運作。
5. 確保本公司各項業務服務之執行須符合政府相關法令（如：資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）規範之要求。
6. 為保護本公司業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
7. 提升對資訊資產之保護與管理能力，降低營運風險。

資安具體管理措施

中天生技資安具體管理措施如下:

(一)制定管理辦法

中天生技為健全資通安全管理制度，於2022年10月份通過ISO 27001認證，並已取得證書，藉由國際資安管理標準落實相關管理制度，以提升同仁資通安全意識，建立正確的電腦網路使用準則，已分別制定資政策及相關管理程序書如下：資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等相關程序書及說明書。

(二)資訊技術

本公司在資訊安全防護上，加強軟體與硬體方面多層次防護，其中包含，帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理/惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理等。

(三)推廣與改善

健全資通安全管理機制，提升同仁資通安全觀念與強化自我保護意識，每年至少辦理1次資通安全管理審查會，針對年內相關資安制度與事件進行監督與管制，另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次， 2022年共計3場次，計有社交工程演練說明、上市上櫃資安指引及ISO 27001主導稽核員專業課程，另外2022年執行4次電子郵件社交工程演練，以提升公司人員資安意識。

(四)加入資安聯防機制

為強化主動防禦策略，中天生技已於2022年9月加入TWCERT/CC資安聯盟，不定期透過該平臺進行網駭情資交換，期藉由該聯防機制，擴大公司資安防禦廣度。

2022年 中天生技資通安全教育訓練統計

涵蓋率計算： 參與人數 /全體員工

2019-2022年資通安全管理執行成效

導入ISO27001 ISMS制度

為展現中天生計對於資安的重視程度，並與國際資安標準接軌，中天生技已於2022年第二季導入ISO 27001 Information Security Management System（ISMS），並於2022年8月初成立資通安全管理委員會，由董事長為委員會召集人，授權管理代表推動資通安全管理及運作、重要資訊保護措施、災害演練與執行計畫等。

此次導入ISO驗證項目，包含系統與管理面，執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目，期符合國際資訊安全管理規範。2022年10月已完成ISO 27001資訊系統管理認證，並已取得證書。