七、信息安全的建置与执行状况

牧德科技是以研发为主的信息团队，故特别重视与维护研发的关键竞争能力，除了和许多其他公司都建置的防毒防骇的软硬件防护措施外。

截止至2024年陆续完成导入信息安全建置基础，说明如下：

（一）数据加密管理：全公司的文件档案数据、图文件、软件程序皆进行数据加密管理，如有需要与客户，供货商相关的报告数据，则需进行申请与解密作业程序。外部客户与供货商才能读取该报告，达到业务活动进行与供货商提供相关服务。

（二）强化使用环境资安：目前高度资安区域的研发部门，是限定个人作业信息设备, 任何外部计算机与硬设备携入是限制联机牧德内部环境，且个人作业用计算机设备，也会因为不当作业使用遭到封锁使用。而全公司USB管制使用方面，因销售与客户服务避免不了需要数据分析协助，信息部则在各楼层提供公用扫毒计算机，将数据进行先扫毒后上传作业。

（三）内部防病毒软件与对外防火墙防毒防骇的建置：近期各大厂遭受恶意软件与计算机病毒攻击状况复杂，信息安全的防护意识持续加强，透过一线资安厂商的训练与实时协助，减少牧德科技对客户与股东的承诺的风险、以及降低营运成果、财务、前景受到重大不利影响。

（四）备机备援机制：重要主机系统升级高可靠度搭配虚拟伺服器架构、备份伺服器升级改善执行。研发与高阶主管电脑设定整机备份执行。以降低恶意软体与电脑病毒攻击造成的资料损失风险。

（五）邮件过滤服务导入：导入云端邮件过滤服务，减少相关邮件攻击风险。

（六）主机状态管理架构建置：建置纪录管理与监控主机服务与资源状态。

（七）执行弱扫与社交工程演练, 分析内部外部环境风险与社交教育训练。

（八）建置公司防火墙对外流量网络流量监控分析与告警机制管理。

八、信息安全风险管理架构

本公司针对资安风险成立风险管理的委员会，由信息部最高主管担任召集人，并由实际执行资安计划之网络服务成员共同组成。也设定专责信息安全主管1位，专责人员1位，与信息部同仁合作共同负责信息安全制度建置、技术导入、资安督导稽核。

委员会制订资安政策，每月资安月报内容与异常项目检讨会议，包括资安事件通报与应变机制；并定期向董事会报告信息安全检查情形。

委员会针对资安与网络风险评估流程进行，以风险影响的等级与发生机率进行风险分析，并针对高风险环境与系统进行对应的管理机制，建立高可靠度架构、数据备份架构、异地备援架构进行建置。以降低资安事件影响。

委员会近期评估报告为 2024年12月19日，年度信息安全报告：

(一) 2024年度资安月报总结：针对资安管理项目与管理异常事件项目进行说明，2024年度重大异常件数为0。

(二) 重点资安管控报告：委托第三方弱扫与社交工程演练成果、防火墙网络流量监控分析、资安管制作业报告。也针对2025年度资安与网络管理规划报告。

((三) 资安管理强化重点：资安稽核、健诊与社交工程邮件演练需持续同仁资安倡导及教育训练。

会议中再次要求强化垃圾邮件/钓鱼网站/邮件攻击过滤防护、强化重要单位内部数据泄密风险管理、资安意识教育训练与观念测试、以及持续强化主动式管理相关信息安全讯息与高风险高严重攻击管理。