基龍米克斯資安長 許勝達 (攝影/洪政偉)
「我們應該是全臺產出最多資料的基因定序公司之一!」基龍米克斯資安長許勝達開門見山說道。
這句話,既點出了基龍米克斯的資安挑戰,也道明了近年基因定序產業的關鍵變化。
隨著高通量基因定序設備快速發展,一個人的全基因組資料,往往就高達上百GB。再加上政府政策鼓勵基因檢測與精準醫療應用,這類資料不再只是零星產出,而是每天、每周持續地累積。再加上,法規要求這類資料必須長期保存,基龍米克斯的資料規模,很快就從TB等級,暴增1千倍,達到了PB級的巨量資料。
這意味著,資料不再只是研究分析的附帶產物,而是公司最核心的資產。資料用得越深、應用場景越廣,能創造的價值就越大;但同時,一旦管理不當,風險也會同步放大。
對基龍米克斯而言,巨量資料的保護,成了新的課題。尤其醫療資料的合規要求更嚴謹,資安不再是「發生事故才需要處理」的補救措施,而是必須提早建立、長期投入的基本功。
以基因定序研究起家,早期資安需求相對單純
2001年,將DNA定序技術引進臺灣的中研院基因定序學者周德源,與其子周孟賢共同創辦了基龍米克斯,逐步發展成為臺灣最大的商業基因體公司。他們最早以基因定序與生物資訊分析服務起家,協助研究單位與醫療端,將原始的基因序列轉換成可解讀、可應用的分析結果。
公司一路發展,累積了不少亮眼成果。例如2004年,基龍米克斯建立了癌症標靶藥物基因檢測系統,成為衛福部疾管署定序合約的長期供應商;2005年參與國際水稻基因體定序計畫,完成水稻第五條染色體定序;2013年完成櫻花鉤吻鮭基因解碼、協助政府拯救瀕臨絕種物種。
之後,基龍米克斯也跨足婦幼健康基因檢測市場,還參與多項政府專案,包括中研院癌症登月計畫、臺灣人體生物資料庫建置,以及TPMI臺灣精準醫療計畫等。
這類業務高度仰賴資訊系統支撐,像是實驗室資訊管理系統(LIMS)、資料分析平臺,以及與各項業務流程串接的ERP系統,每一個環節幾乎都與資料處理密切相關。
基龍米克斯成立初期,以研究為主,資料多半用於學術或研究用途,影響範圍相對有限,公司高層對資安的要求,偏向於不出問題就好的態度,尚未視為營運層級的關鍵議題。
隨著業務版圖擴展,資安不再是加分項
近幾年,基龍米克斯開始積極拓展業務版圖,推動實驗室開發檢測(LDTs),定序和檢測報告不再只是研究參考,而是可能直接影響臨床判斷、治療方向與用藥決策的正式依據。
這樣的轉變,也意味著資訊系統的角色出現變化——系統不只要「算得快、產得出報告」,還必須能完整記錄每一個分析流程、版本變更與存取紀錄,確保結果在事後能被清楚追溯與驗證,經得起各方檢驗。
基龍米克斯擴大的另一條業務線,則是2021年開始投入的委託開發暨製造服務(CDMO)營運模式,以及GMP合規製造廠區的建置,業務範圍從原本的分析服務,進一步延伸至核酸藥物相關製程。
這一步,讓基龍米克斯的營運模式大轉變,從以基因定序服務為核心的公司,變成了一家提供研發與製造代工服務的生技製造服務商。這個轉型,更讓資安的價值和重要性,從加分項,拉高到了非做不可的合規層級任務。
因為,CDMO模式是接受商業客戶的委託,進行開發和製造產品,資訊系統處理的不再只是內部研究資料,還包含客戶的配方、製程參數與尚未公開的研發資訊。換句話說,一旦資料外洩或遭到未經授權的存取,影響的不只是內部作業,而是直接牽涉到客戶信任與商業責任。
至於GMP合規製造,則必須接受主管機關與稽核單位的檢核,關注的也不只是流程是否標準,而是每一筆製程與品質資料,是否能清楚說明「誰在什麼時間、以什麼身分做了什麼事」,並且確保紀錄未被未經授權地修改。
這也代表,帳號管理、存取權限、系統日誌與資料完整性,都是GMP合規不可或缺的基礎條件。一旦資安機制不足,不僅可能帶來資料外洩風險,也可能讓整個製程的可追溯性與合規性受到質疑。
與此同時,走向GMP製造,也需要IT與OT流程的整合。
因為在基因定序/檢測與臨床研究階段,重心仍以IT系統為主,例如LIMS、分析平臺和ERP系統;實驗室中雖然有定序儀和相關的OT設備,但多半各自獨立,主要用來支撐單一實驗流程,並未有太多整合的管理挑戰。
但建置GMP場域後,這些設備和系統就必須整合進製程管理中,OT成為製程和品質控管的一部分,需要整合電子批次紀錄、品質文件管理系統,以及與設備連動的資料蒐集和控制機制等。
對基龍米克斯來說,CDMO和GMP不單是新業務線,也是讓資料和系統正式成為法規、品質和營運責任的重要一環。這一連串業務模式與公司階段的轉變,更讓資安從單純的內部管理議題,升級為影響企業信任與營運穩定的關鍵條件。
攝影/洪政偉
資安策略的起點不是工具,而是整體架構
2017年進入基龍米克斯的許勝達,原本專攻生物資訊分析,負責帶領NGS定序資料處理/分析平臺與IT團隊。直到2023年,配合公司業務發展,他才正式接下資安長一職。
回顧接任資安長的第一階段工作,許勝達自己並不急著導入各種高階資安工具,而是先從最基礎的系統與網路架構下手。
他指出,早期因公司規模較小,多數系統共用同一個網路環境,權限設計也相對寬鬆。這樣的做法在初期或許方便,但當資料量、系統數量與人員規模同步成長,一旦發生問題,影響範圍就可能成倍放大。
因此,他優先推動網路分段與權限重整,依部門與系統性質切割網段,並將GMP製造場域與研發、行政系統完全隔離。這樣的設計,讓風險能被限制在最小範圍內,也讓日後的稽核、事件回溯與責任歸屬變得可行。
在使用者端,他同步導入單一登入(SSO)與帳密管理政策,在提升安全性的同時,盡量降低對日常工作的影響。對他來說,資安不是制度寫得多嚴格,而是能不能在不影響工作的前提下,真正落實。
鼓勵嘗試生成式AI工具,但也要兼顧安全
基龍米克斯是臺灣少數結合次世代基因定序(NGS)、CDMO製造與AI輔助能力的跨域團隊,對新技術向來抱持開放態度,就連生成式AI也不例外。
許勝達坦言,他經常鼓勵團隊使用生成式AI,不論是輔助程式開發的Vibe coding工具,還是串接AI代理、協助行政人員執行工作的無程式碼工具,都在推廣範圍內。
因為這些工具能大幅提升工作效率、減輕人力負擔,他甚至會安排教育訓練,協助同仁熟悉相關工具。
「教育同仁如何正確使用工具、建立正確的觀念,而不是一開始就排斥新技術,」他說。
在擁抱新技術的同時,安全性也沒被忽略。儘管目前尚未對生成式AI工具進行嚴格的控管,主要仍仰賴防護軟體過濾,但許勝達仍會在教育訓練中反覆強調資料隱私與安全的重要性,藉此提升同仁的整體資安意識。
資安長最大的挑戰,往往來自組織本身
談到落實資安的最大挑戰,許勝達並不諱言,往往不是技術,而是人。
比如密碼規則變嚴、USB使用受限、流程多一道檢核,對第一線同仁來說,都是實際的不便。
尤其一開始,這些改變往往引發反彈,甚至被視為影響工作效率。
但他的做法不是強硬要求,而是持續溝通和調整。例如在提高帳密安全性的同時,引入單一登入(SSO)來減少負擔;或是在新措施正式上線前,先向同仁說明背景與原因。他希望讓公司同事理解,資安不是為了限制工作,而是為了保護公司長期發展與累積的成果。
在這個過程中,資安也逐漸從被動遵守的規範,轉變為需要全體同仁共同維護的文化。
把資安變成營運的一部分
談起基龍米克斯的資安原則,許勝達直言:「資安不能靠IT部門自己扛。」在他看來,資安應該由「治理、管理、技術」三層結構共同支撐。
治理層包括資安政策與跨部門協作機制,例如去年7月成立的跨部門資安小組,由董事長、總經理、稽核人員、IT與資安角色及各部門代表共同參與。
這個小組以「治理—執行—查核」模式運作:由資安長統籌制度與風險管理並定期向高層報告,資訊部門負責技術與日常落實,稽核單位則進行獨立查核與改善追蹤。他們透過這樣的分工,來定義資安任務,將資安正式納入公司治理框架。
有了完整的治理層,接下來就是管理層,包括風險評估與通報流程。另一重點則是技術層,泛指NAS、VPN、日誌紀錄等工具的實際運用。
許勝達也透露,團隊正評估導入安全資訊與事件管理(SIEM)、端點偵測及回應(EDR)等工具,以強化事件預警與應變能力。這些工具的導入,並非追求形式上的完整,而是希望讓資安真正支撐業務長期、穩定地運作。
另一方面,基龍米克斯也正參考ISO 27001資訊安全管理系統架構,導入相同的治理思維,讓整體營運更貼近國際通行的安全標準。
下一步要把關供應鏈風險
隨著業務從研究走向臨床與製造,供應鏈安全也逐漸成為基龍米克斯不得不面對的課題。
不論是委外的軟體開發商、雲端平臺服務商,還是生物資訊分析相關工具,只要能接觸到資料或系統,就可能成為風險來源。許勝達坦言,雖然內部的供應鏈資安尚未一步到位,但已先建立清楚方向。
例如,基龍米克斯已開始盤點能接觸核心資料或關鍵系統的廠商,並在合約中納入資安相關條款,依據供應商能接觸的資料與系統層級,進行分級管理。接下來,他們還會透過問卷,或基本審查機制,逐步建立起供應鏈資安的最低門檻。
這不只是技術層面的問題,也涉及資料主權、跨境合作與地緣風險的判斷。在基因資料高度敏感的產業中,供應鏈的每一個環節,都是整體資安的一部分。
CISO小檔案
基龍米克斯資安長 許勝達
學歷:交大生物資訊及系統生物所博士畢業
經歷:曾任交通大學博士後研究員、生命先鋒投資股份有限公司研究員,宣捷生物科技股份有限公司顧問及康百事生物資訊股份有限公司研究員。2017年加進入基龍米克斯,先後擔任生物資訊部門經理、創新技術部經理與技術長;2023年配合公司業務發展,擔任資安長至今
公司檔案
基龍米克斯
●地址:新北市汐止區新台五路一段100號14樓
●成立時間:2001年
●網址:www.genomics.com.tw
●主要業務:基因定序服務、GMP等
●員工數:約200人
●資本額:724,480,570元
●年營收:4.8億元(2024年)
●董事長:周孟賢
●總經理:江俊奇
資安部門大事記
●2023年:資安長(CISO)角色正式設置,由資訊與資安治理分離,強化橫向協調角色
●2024年:初步規劃資訊安全制度藍圖,參考ISO/IEC 27001架構,盤點內部資安需求與痛點;強化資安文化推動與培訓活動,結合案例教育與社交工程測試
●2025年:成立跨部門資安小組,成員涵蓋董事長、總經理、稽核與IT,啟動定期治理會議;規劃導入SIEM與EDR系統,以強化內部資安事件的即時監控與預警能力
熱門新聞
2026-03-06
2026-03-02
2026-03-02
2026-03-04
2026-03-02
2026-03-05
2026-03-02