卓越治理|資訊安全

  • 卓越治理
  • 資訊安全

資訊安全

新唐積極開拓新市場,持續維持公司營運獲利狀況 ,並投入策略性專利佈局,為確保誠信經營與遵循法令,隨時關注 可能影響公司之國內外政策與新興風險,定期宣導誠信經營之核心價値,建立穩健的企業文化,發展永續新局。

SDGS
SDG 8 合適的工作及經濟成長
SDG 9 工業化、創新及基礎建設

100

%

誠信經營教育訓練

0.52

每股盈餘

2,936

全球獲准專利累計超過

公司治理
氣候變遷
企業誠信
ESG風險策略
資訊安全

資訊安全

新唐訂有「新唐安全政策」與「資訊安全管理辦法」,並據此建立管制措施,持續維持安全的資訊環境,以保護新唐、客戶的資訊免遭竊盜、電腦犯罪、工業間諜活動或其他形式的傷害和損失。與往來廠商、客戶簽有保密合約,相互保護機密資料,避免機敏資料的不當揭露。此外,本公司依據資訊安全業務內部控制制度每年進行內部查核作業、定期召開資訊安全管理會議,進行資訊安全作業審查與定期追蹤改善,同時將定期對於內外部關係人議題進行風險評估,如客戶、供應商、內部員工、主管機關等。 
新唐臺灣於 2022 年 12 月成立新的資安專責單位—資訊安全部,於 2024 年 3 月升為處級組織,並更名為資訊安全處,主要負責集團資訊安全治理,提升員工資安意識與文化,防範機敏資訊外洩,強化資安防禦與威脅偵測能力,整合內外部資源落實資訊安全風險管理,以確保集團組織的資訊安全韌性與持續營運。2024 年度,為讓客戶能安心地與我們合作,新唐臺灣因應客戶要求,導入並驗證新版 ISO 27001:2022 國際資訊安全管理系統,新唐日本則是於 2024 年更新為新版 ISO 27001:2022 認證,此外,新唐日本因有IC 卡與車載相關產品的業務,已取得 ISO/IEC 15408、ISO/SAE 21434:2021 認證。

資安風險管控措施

項目具體作法2024年成效
提升同仁資安意識
  • 每月發出資訊安全宣導
  • 每季資訊安全教育訓練 (社交工程訓練)
  • 每年個人資料保護教育訓練
  • 不定期資安時事或重大事件宣導
新唐臺灣
  • 資訊安全教育訓練6 次
新唐日本
  • 資安宣導:透過朝會、訓練教材發布、發布資安推進委員會會議紀錄等方式進行資安宣導
資安監控與異常事件通報處理
  • 每週提供監控記錄及分析報告
  • 每週進行資安監控會議討論,檢視事件及採取應對措施
  • 2024 年新唐臺灣與新唐日本皆無發生重大資安事件及影響
弱點及漏洞管理
  • 地端主機,每季執行弱點掃瞄作業,每月定期安排停機作業,進行微軟重大更新的修補
  • 外部服務,以Panorays 雲端掃瞄工具監控風險
新唐臺灣
  • Panorays 雲端監控平台總分數平均 > 90 分,共修補34 個風險,其中19 筆為高/ 重大風險
身份存取管控
  • 雲端服務,使用條件式存取及多因子驗證,並僅允許合規設備以及使用特定程式
  • 遠端連線,使用身份識別 + 多因子驗證 + 設備白名單,滿足條件方可連線
  • 定期更新密碼
  • 強化使用者登入通知,透過即時收到登入成功的通知,使用者可以確認該登入成功的行為是否為本人登入
  • 增加VPN 登入多因子驗證失敗的通知,若使用者在收到通知後發現為異常狀況,可直接通報資安單位進行處理
  • 2024 年新唐臺灣與新唐日本皆無發生重大/ 高風險事件
實體安全防護根據員工業務而有不同的門禁區域,出入各區域需使用門禁卡進行身分驗證
  • 符合國際標準ISO/IEC15408資訊技術安全評估共同準則之門禁安全要求
程式碼安全
  • 應用程式部門,於新系統、對外服務系統及重大改版上線時,需執行程式碼安全性檢查, 並進行高風險程式碼的修補,提升程式上線安全
  • 更新程式碼掃描資料庫,提升程式碼檢測效率。
新唐臺灣
  • 2024年新上線系統共22個,高風險程式碼修正改善率為100%,執行源碼掃描的程式覆蓋率 100%
郵件安全
新唐臺灣
  • 加強郵件伺服器安全設定,SPF 設定本公司授權的郵件寄送主機,DKIM 與 DMARC 設定可以防止郵件遭仿造篡改
新唐日本
  • 使用 Outlook 的安全外掛程式,在發送電子郵件時檢查目的地、正文和附件來防止錯誤的電子郵件發送
  • 使用IT設備管理工具(AssetView)的電子郵件監控功能監控不當電子郵件發送
新唐臺灣
  • 所有郵件都需經合法郵件伺服器驗證,外部寄送成功率為100%
新唐日本
  • 更新Outlook 的安全性功能
供應商資訊安全管理
新唐臺灣
  • 每年度規劃供應商查核時程,每季依規劃內容請供應商填覆供應商資安問卷,若評估分數在90 以下,將請供應商進行改善,並追蹤改善情形
新唐日本
  • 自2022 年起,針對供應鏈進行資訊安全安全檢查,每年至少對持續合作的夥伴進行重新評估,並提供指導和改善建議
新唐臺灣
  • 2024 年90 分以上供應商佔70%、未達90 分之供應商佔30%、90 分以下供應商中完成改善之比例為0%
新唐日本
  • 2024 年對28 家供應商進行了安全檢查

客戶隱私保護

隨著資安威脅的日益增加,新唐透過強化資訊安全防護,擴大資安與個資國際標準認證範圍提升作業安全與個資保護作業,確保公司達到保護客戶隱私及防範營業秘密與智慧財產權遭竊或外洩,除每年定期進行稽核內控自評作業,依據單位管理之人員、客戶、廠商資料設置控制點,定期檢查及記錄控制點執行狀況,並於每年進行覆核稽查作業以建立完整的資訊安全環境,以避免重大偶發事件與裁罰之發生,維護企業及客戶聲譽。 新唐日本對外發布隱私權政策,在處理個人資訊時,會事先取得客戶、業務夥伴的同意,若從第三方接收或向第三方提供個人資料,皆遵循個人資料保護法。

客戶隱私保護作為

ISO 27001資訊安全管理系統
新唐將客戶視為重要的策略夥伴,致力於滿足客戶需求與期望,我們亦重視客戶機密及資訊保護,嚴格控管客戶相關資訊,與客戶往來之文件、資料等商業資訊,均由新唐內部高度防護系統所保存,且與新唐有往來之重要廠商或客戶皆簽定保密協議,要求互相保護機密資訊,防止客戶資訊隱私與營業秘密遭外洩,並透過ISO 27001 資訊安全管理系統,建立更完善的資訊安全防護制度。2024 年新唐未發生侵犯客戶隱私權及遺失客戶資料的投訴案件。
隱私保護法令
為確保符合包括「個人資料保護法」、「歐盟地區施行之個人資料保護規則」(General Data Protection Regulation,GDPR) 及美國加州地區之「加州消費者隱私保護法(California Consumer Privacy Act,CCPA) 等隱私保護法令之規定,新唐臺灣於2024 年度向全員進行「個人資料保護法」調訓,訓練內容包含歐盟GDPR 簡介與臺灣個資法,完訓率100%;新唐日本則在公司內部入口網站上發布有關個人資訊的培訓資料(電子學習,也提到 GDPR),以利所有員工隨時查看。
簽署保密合約
新唐在提升對客戶服務的同時,更重視維護客戶隱私權及智慧財產權。與客戶簽署保密合約以保護客戶機密資訊,並設有機密資料保護程序,確保機密資料無外流風險,妥善保護客戶隱私。