信息安全组织架构

为提升集团安全管理,集团已成立信息安全部门,由财务暨信息总经理担任最高负责人。信息安全部门负责推动信息安全政策及资源调度,并配置专责信息安全人员,确保各项信息安全管理规范与管控措施能够有效且持续执行。

信息安全管理机制

所有客户隐私与机密信息均以“need-to-know”原则为基础,并从人员(People)、流程(Process)与技术(Technology)三大面向执行相关保护机制与措施,以确保客户隐私及机密信息的安全。摘要如下:

信息安全管理作为

  • 为符合内部信息安全规范与外部监管单位要求,集团已建立信息安全管理系统及信息安全管理程序,并已制定9项信息安全目标,每月统计达成结果并保留相关记录。
  • 为强化信息安全防护能力,每年委托厂商执行黑客渗透测试,以各类黑客手法分析可能遭遇攻击的漏洞与情境,并针对检测结果中的高风险项目进行改善,持续提升信息安全防护质量。
  • 为提升应用系统安全并降低风险,每年定期执行系统设备漏洞扫描,并对中高风险漏洞进行修补。同时已导入计算机资产管理系统、用户端特权账号管理、移动设备安全防护、双因子认证(MFA)强化机制及特权账号集中管理机制等,降低机密或敏感资料异常事件发生的风险。集团也持续针对恶意或垃圾邮件进行过滤,并通过信息安全事件管理系统(SIEM)进行日志监控,同时导入数据防泄漏保护机制(DLP),以实现异常即时监控,强化信息安全管理机制。
  • 针对公司运营相关重要系统,定期执行资料备份及同地备援机制,强化企业应对信息安全风险的韧性。
  • 集团定期安排每年两次的信息安全意识教育培训及每年6次社会工程演练,并通过电子邮件、即时通信和数字电视等方式,进行信息安全防护与时事案例宣导,强化集团员工的信息安全意识。此外,集团已于2018年6月开始投保Cyber Risk Insurance / Commercial Crime Insurance保险,以降低业务中断所造成的风险损失及求偿责任,期望成为信息安全治理成熟度表现优异的企业。
  • 致伸集团主要运营据点已取得“ISO 27001:2013”国际标准证书,并于2023年新增核心关键系统,顺利通过SGS验证。本集团及旗下子公司迪芬尼声学科技股份有限公司分别已于2024年12月及9月取得“ISO 27001:2022”新证书,目前证书有效期分别为2024年12月22日至2026年11月16日,以及2024年9月6日至2027年9月5日。依据未来信息安全蓝图发展,集团将规划纳入工程和制造主要运营流程认证范围,并每年定期通过第三方验证公司的续审验证。

信息安全风险评估

致伸集团定期盘点信息资产,并更新资产清册。集团每年评估与信息资产相关的风险,管控高风险项目,以降低风险发生的可能性及其影响,确保公司信息安全的长期稳定。

致伸已建立全面的网络与计算机相关信息安全防护措施,但恶意黑客仍可能试图将计算机病毒、破坏性软件或勒索软件导入公司的网络系统,以干扰公司运营、进行勒索、取得计算机系统控制权,或窥探机密信息。这些攻击可能导致公司因延误或中断订单而需赔偿客户损失,或需承担高额费用实施补救和改进措施,以加强公司的网络安全系统。

为预防并降低此类攻击所造成的损害,集团持续更新并落实相关改进措施,例如:强化网络防火墙与网络管控;依计算机类型建立端点防病毒措施;导入新技术加强资料保护及备份;加强钓鱼邮件侦测;并定期执行社会工程邮件测试及员工信息安全意识培训。

信息安全内部查核

信息安全部门的信息安全稽核小组依据风险性订定评估项目,并已于2023年3月29日完成信息安全自行评估及检核作业,将评估结果及佐证资料交由稽核部复核。稽核部每半年执行一次信息循环查核,其中信息安全为必要查核项目,并定期至少每年一次将所有查核报告提交审计委员会及董事会。

产品研发与制造安全

公司研发与制造单位一直以来均依据集团信息安全政策及客户要求与期望,持续进行研发与制造业务,并通过实体与电子等各项管控流程,保护产品机密信息与制程技术,同时维持客户要求与相关第三方认证资格。

致伸集团产品包含计算机外围产品及非计算机外围产品。若依产品信息安全风险特性进行区分,针对电声产品、OEM品牌客户产品、无线连接器产品等,基于客户要求或信息安全风险考量,在软件/固件更新上线前安排代码审查或源代码扫描等控制措施,进而降低信息安全风险。

致伸从研发阶段至成品出货阶段,全程依据客户要求的安全原则执行。如有任何与安全相关的疑虑,均立即处置并矫正,在不影响制程与后续作业流程的情况下,确保产品信息安全无虞。此外,我们也高度重视产品出货后的信息安全,并依据产品特性与客户要求,通过软件测试或实体线路隔离等设计预防措施,严格防范产品使用期间可能发生的信息安全危害,如恶意程序植入等,以避免用户信息泄漏风险。

客户隐私与个人资料保护

致伸集团遵循国内外个人资料保护法及相关法令规定,制定《隐私政策》,适用范围包括:1. 客户、供应商及承包商;2. 浏览官网的访客或实地来访的访客;以及3. 求职者。集团以信息安全部作为个人资料保护管理专责单位,致伸科技及迪芬尼各设有1名专责人员,负责个人资料保护相关法令的制定、相关申诉受理及管理流程运作等。

同时,致伸集团致力于保护客户信息安全,以维护客户权益。针对客户隐私与机密信息,集团订有管理政策及程序,并以“最小权限”为原则,仅在与客户项目相关且需接触机密敏感资料时,方可通过内部申请取得信息存取权限。集团信息安全部门也定期审查信息安全相关程序文件,确保适时更新,以符合客户需求及要求的信息安全管理强度。

致伸重视个人资料当事人依法对其个人资料行使的权利,并于公司网站设置专责信箱。如接获申诉或发现个人资料侵害事件,集团将依适用对象的对应规范,包括《个人资料保护办法》《供应商行为准则》《客户资料保密协议》等,进行处理及相关惩处,并规划个人资料保护相关教育培训,每一位员工均需完成在线通识课程。2024年,集团针对ISO 27001相关权责员工办理个人资料保护培训课程,共计60人参与,且无侵犯个人资料,亦无侵犯客户隐私(包括投诉)等事件。