隐私与资通安全

资通安全组织架构

为提升集团安全管理了成立集团资通安全部门,财务暨资讯总经理是最高负为提升集团安全管理了成立集团资通安全部门,财务暨资讯总经理是最高负责人,资通安全部门负责资通安全政策推动及资源调度事务,由专责资安同仁,确保资通安全各项管理规范与管控措施能有效持续地执行实施。

致伸集团资通安全部门组织架构

IT 1

致伸集团资通安全管理与持续改善架构

6 2

资通安全管理机制

对于所有客户隐私与机密资讯是以需者方知(Need-to-know)为基础,并从人(People)、流程(Process)与技术(Technology)三要素着手执行相关的保护机制与措施,以确保客户隐私及机密资讯的安全,摘要如下:

6 3

资通安全管理作为

  • 为了符合内部资安规范与外部监管单位的要求,集团已建立资讯安全管理系为了符合内部资安规范与外部监管单位的要求,集团已建立资讯安全管理系统及资通安全管理程序且已订定9项资通安全目标,每月统计达成结果并保留相关记录。
  • 为强化资安防护能力,每年请厂商执行骇客渗透测试,以各式骇客手法分析可能遭遇骇客攻击的漏洞与情境,针对检测结果中的高风险项目均会进行改善,透过持续提升资安防护品质。
  • 为提升应用系统安全与降低风险,每年定期执行系统设备弱点扫描并对中高风险的弱点进行修补,并已导入电脑资产管理系统、用户端特权帐号管理、行动装置安全防护、双因子认证(MFA)强化机制及特权帐号集中管理机制等,降低机密或敏感性资料异常事件的发生,持续针对恶意或垃圾邮件过滤与透过资安事件管理系统(SIEM)日志监控并导入资料外洩保护机制(DLP),以期达成异常即时监控,强化资通安全管理机制。
  • 针对公司营运相关重要系统,定期执行资料备份及同地备援机制,强化企业资安风险对应靭性。
  • 定期安排一年两次的资安意识教育训练及一年6次社交工程演练,经由电子邮件、即时通讯和数位电视等方式,进行资通安全防护和时事案例宣导,强化集团员工的资安意识。此外,已于2018年6月开始投保Cyber Risk Insurance /Commercial Crime Insurance保险,以降低业务中断所造成的风险损失及求偿责任,期望成为于资安治理成熟度表现杰出之企业。
  • 致伸集团主要营运据点已取得「ISO 27001:2013」国际标准证书,于2023年新增核心关键系统并顺利通过SGS验证,已规划2024年升级「ISO 27001:2022」新版标准与持续扩大验证范围,依序为研发流程、工程和制造等公司主要运营流程且每年通过第三方验证公司的续审验证。

6 4

资通安全管风险评鑑

致伸集团定期盘点资讯资产,更新资产清册。并且每年评鑑与资讯资产相关的风险,管控高风险项目,以降低风险发生的可能性及产生的冲击,确保本公司资通安全的长治久安。

致伸已建立全面的网路与电脑相关资安防护措施,但恶意的骇客亦能试图将电脑病毒、破坏性软体或勒索软体导入公司的网路系统,以干扰公司的营运、对进行勒索,取得电脑系统控制权,或窥探机密资讯。这些攻击可能导致公司因延误或中断订单而需赔偿客户的损失;或需担负庞大的费用实施补救和改进措施,以加强公司的网路安全系统。

为了预防及降低此类攻击所造成的伤害,持续更新落实相关改进措施,例如:强化网路防火墙与网路控管;依电脑类型建置端点防毒措施;导入新技术加强资料保护及备份;加强钓鱼邮件的侦测;并定期执行社交工程邮件测试及员工资安意识训练。

资通安全内部查核

资通安全部门- 资安稽核小组依据风险性订定评估项目,已于2023 年3 月29 日完成资通安全自行评估及检核作业,并将评估结果及佐证资料,交稽核部覆核。稽核部每半年执行一次资讯循环查核,其中资通安全为必要查核项目,并定期至少每年一次将所有查核报告提交审计委员会及董事会。

产品研发与制造安全

公司研发与制造单位一直以来,依据集团资通安全政策及客户要求与期望,持续进行研发与制造业务,藉由实体与电子等各项管控流程,保护产品机密资讯与制程技术,同时维持客户要求与相关第三方认证资格。

致伸集团产品包含电脑周边产品及非电脑週边产品,若依产品资安风险特性进行区分,电声产品、OEM品牌客户产品、无线连接器产品等,基于客户要求或资安风险考量,对于软/ 韧体更新上线前安排程式码审查或源代码扫描等控制措施,进而降低资讯安全的风险。

致伸从研发阶段至成品出货阶段,全程依据客户要求之安全原则进行,如有任何与安全相关之疑虑,均立即处置矫正,在不影响制程与后续作业流程下,确保产品资讯安全无虞。此外,我们也相当注重产品出货后之资讯安全,依据产品特性与客户要求,并经由软体测试或实体线路隔离等各设计预防措施,严格杜绝产品使用期间之可能发生的资安危害( 如恶意程式植入等),避免使用者资讯洩漏风险。

6 5

 客户隐私与个人资料保护

致伸集团遵循国内外个人资料保护法暨相关法令之规定,制定「隐私权政策」,其适用范围包括:1. 客户、供应商及承包商,2. 浏览官网之访客或实地来访之访客,及3 . 求职者,以资通安全部作为个资保护管理专责单位,致伸科技及迪芬尼各设有1名专责人员,负责个资保护相关法令的制订、相关申诉之受理、管理流程运作等。

同时,致伸集团致力保护客户资讯安全,以维护客户的权益。针对客户隐私与机密资讯订有管理政策及程序,以「最小权限」为原则,与客户专案相关并接触机密敏感资料才可以通过内部申请取得存取资讯的权限,并由集团资通安全部门定期审查资通安全相关程序文件,确保适时更新符合客户需求及要求之资安管理强度。

致伸重视个资当事人对于其个人资料依法行使之权利,于公司网页设置专责信箱,如接获申诉或是发现个资侵害事件,将依适用对象之对应规范:「个人资料保护办法」、「供应商行为准则」、「客户资料保密协议」等,进行处理及相关惩处。2023年无侵犯个人资料,亦无侵犯客户隐私( 包括投诉)等事件。