一、資通安全風險管理架構及資通安全政策

誠品生活已設立專責資安管理單位「資訊安全技術部」,並制定「資通安全政策」,本公司依規定配置資安專責主管及專業人員,主要工作範疇包括資通安全事件應變、威脅情報防禦、資訊安全檢測(含演練)、漏洞管理、資安意識教育訓練及資訊安全治理。

本公司以資安治理與風險管理為核心策略,專注於強化威脅檢測與營運復原力,全面保護數位資產並支持公司長遠發展。主要策略包括:提升資安治理架構的成熟度、優化威脅預警與應變機制,確保營運穩定性及資料保護的完整性,降低潛在風險並維持高標準的合規性。

為確保資通安全策略的系統化實現與持續優化,本公司採用 NIST Cybersecurity Framework(CSF)2.0、Cyber Defense Matrix 及 CIS Controls v8.1 等國際標準框架,進行全面評估與部署。透過 NIST CSF 2.0 的「治理、識別、保護、偵測、回應、復原」六大功能,本公司系統性地管理資安風險,確保資訊資產的安全;搭配 Cyber Defense Matrix,實現對人員、流程及技術的多層次保護與範圍檢視;同時,根據 CIS Controls v8.1 的 18 項控制措施,聚焦於建立資安防護能力、減少攻擊面及強化威脅應變能力,從而全面提升防禦能力並降低潛在威脅。本公司已制訂「資訊安全政策」,透過政策實施持續完善資料存取控制與權限管理機制,預防未經授權的修改或存取行為,降低內外部風險,確保資訊服務的穩定性與合規性,以支持公司穩定營運。公司定期執行資訊系統安全檢測,實施資訊安全知識宣導,推動員工遵守資訊安全規範,提升整體資安防護能力。

同時,本公司持續培育內部資安人才,全面提升組織的防禦能力與應變效能。為進一步強化資安防護能量,本公司加入台灣CERT/CSIRT 聯盟以及台灣資安主管聯盟會員,利用聯盟的威脅情報與協作機制,增強資通安全事件的應變能力,保障公司與客戶之資產安全。

此外,本公司已建立並導入資訊安全管理系統(ISMS),依據國際標準 ISO/IEC 27001:2022 的要求進行設計與運作,已於2024 年通過英國標準協會(BSI)驗證目前證書之有效期為2024年05月至2027年05月。通過全面的風險評估與管理機制,識別及管理潛在資訊安全風險,提升各項作業的安全性、合規性及穩定性。

二、具體管理方案及投入資源

因應駭客攻擊手法日趨複雜,本公司採行資安縱深防禦措施與策略,在端點安全方面部署端點偵測與回應(EDR)系統並採用托管式偵測與回應(MDR)全天候監控與分析服務,結合防毒軟體,進行端點多層次防禦,提升端點威脅守備範圍並降低資安風險。本公司存取控制採取多層次安控措施,已導入網路存取控制(NAC)技術,強化內部網路存取管理。VPN 連線已導入雙因素驗證(2FA)機制,提升遠端存取的安全。重要主機存取已進行連線及授權管控。以防止內部網路發生未經授權的連線,強化資通安全防護層級。此外,本公司內部服務導入 FIDO(Fast IDentity Online)認證技術,提升服務驗證的便利性與安全性,減少帳號密碼依賴,強化身份驗證防護。
對外服務保護方面,本公司部署網站應用防火牆(WAF)及垃圾郵件防護系統,阻擋應用層攻擊與惡意郵件威脅,確保來自外部的連線安全性。導入外部攻擊面管理(EASM)機制,透過持續識別和評估外部攻擊面,強化對潛在威脅的掌控能力,確保公司數位資產的安全性。 網路威脅偵測與防護方面,本公司已配置防火牆、入侵防禦系統(IPS)及網路偵測與回應(NDR)技術。除能夠即時阻擋潛在的網路威脅外,也能對內部流量進行持續監控與分析,偵測異常活動與潛在威脅,提升整體網路流量安全性。
定期進行入侵指標(Indicators of Compromise, IOC)情資分析,主動識別潛在威脅來源,並適時納入防禦設備進行封鎖,以強化防護能力並降低攻擊風險。 為加強保障本公司之會員、消費者與相關配合單位之資訊安全防護,特與外部專業資安團隊合作(經行政院國家資通安全會報技術服務中心評鑑為特優之廠商),定期舉行資安偵防與演練,以確保其相關權益不受威脅,維護本公司商譽與企業形象。定期進行入侵指標(Indicators of Compromise, IOC)情資分析,主動識別潛在威脅來源,並適時納入防禦設備進行封鎖,以強化防護能力並降低攻擊風險。 為加強保障本公司之會員、消費者與相關配合單位之資訊安全防護,特與外部專業資安團隊合作(經行政院國家資通安全會報技術服務中心評鑑為特優之廠商),定期舉行資安偵防與演練,以確保其相關權益不受威脅,維護本公司商譽與企業形象。
透過SOC 監控擴大防護能量,7x24 小時防禦性監看核心系統的主機、網路設備與資安設備相關日誌,並落實通報應變機制。透過外部資安情資平台與各項資安服務,掌握國內外資安最新趨勢,持續優化抵擋資安攻擊,降低資安事件發生機率。每年舉辦多場資訊安全教育訓練,包含全體員工之資訊安全通識教育,加強基本資安認知及了解常見疏失,認識普遍駭客攻擊手法;以及針對資訊部門進行訊同仁資安課程,確保技術人員了解相關資安風險及標準規範,全面提升員工的資安意識。

三、投入資源量化數據

  1. 本公司持續檢視系統安全性,113 年度外部專業資安團隊或主管機關協助執行超過 15 次資安檢測作業,包括源碼檢測、滲透測試、網頁弱點掃描、主機弱點掃描及 APP 檢測。同時對發現之弱點進行修補改善,提升系統安全及穩定性。
  2. 為提升公司同仁資安意識,於113 年度執行 2 場全集團同仁資安基礎課程,5 場資訊同仁資安意識宣導及教育訓練,2 場社交工程教育訓練。
  3. 專責資安團隊擁有 10 項資安相關資格證照如CISSP、CPENT、 iPAS中級資安工程師、ISO27001:2022 主導稽核認證等,總計 28 張證照。
  4. 為增強同仁對惡意釣魚信件之抵抗力,113 年度本公司共執行 4 次社交工程演練,最後一次演練未通過率為 0.35%,未通過同仁已安排進行資安意識加強教育訓練。
  5. 為確保供應鏈安全,113 年度本公司對 11 家合作夥伴進行供應鏈資通安全實地查核,檢視其資安管理機制與防護措施。對未符合要求者提出改善建議,以識別與降低供應鏈潛在攻擊風險。
  6. 積極保護客戶資料安全及維護品牌形象,113 年度檢舉下架超過 20 個偽冒頁面,並建立內部通報機制,持續關注偽冒品牌身分相關議題。
  7. 113 年度本公司共召開超過 20 次資安治理與管理會議,包括資通安全管理委員會、資料安全保護提升會議、ISMS 管理審查會議等,持續檢討資安策略與執行情況並優化資安管理機制。
  8. 為強化數位資產風險管理,本公司導入外部攻擊面管理(EASM)系統,2024 年維持在 Excellent 等級;透過持續監測 與動態分析,辨識暴露於網際網路的資產並主動發現潛在風險。 EASM 提供即時預警,提升外部攻擊面的可視性與管理效能,同時增強資安防禦深度與營運韌性。
  9. 為提升電商系統的身份驗證安全性,本公司於電商中後台導入FIDO(Fast IDentity Online)數位驗證機制,減少憑證遭竊取及密碼外洩風險,有效降低帳戶遭受攻擊的可能性。
  10. 為提升客戶使用的安全性,本公司誠品人 APP 通過「行動應用資安聯盟」嚴格審核,成功取得行動應用基本資安認證 L3 MAS 標章及證書,在資料保護、身份驗證、防止漏洞利用等多面向達到高標準的資安要求。

除上述措施外,本公司亦持續優化資訊安全管理機制,全面提升資安防護能力,以確保內外部各方關係人的權益與資訊安全。