本集团之资讯安全政策

资讯安全与隐私的控管已然成为日常业务执行中不可或缺的一部份，本集团各子公司皆制定资讯安全政策保护客户的隐私，为防止未经授权使用计算机系统，依据「个人资料保护管理办法」，各部门用户必须申请用户代码与应用程序，经该单位主管、资讯单位主管核准后，以取得正式使用计算机系统之渠道。针对非相关作业人员，将无法获取客户相关资料，确保客户的隐私受到保护。

本集团母公司已设置资安管理专责部门，负责集团之资讯安全维运、资讯安全架构、资讯安全政策及其他有关资讯安全之项目及查核作业，以利带领各子公司共同实现富采资讯安全之目标。

 

欲确保与资安相关之各项执行策略、目标与绩效检核，本集团特别成立「信息安全委员会」，第一层为董事会，负责裁决资安重大议案; 第二层为企业永续暨风险管理委员会（主席为集团董事长），负责决定集团资安方向与目标，第三层为资安委员会（主席为资安长），负责推动集团目标与重点方案。第四层为各家公司的资安部门，负责执行各项目标与项目。每年两次定期召开资安管审会议，向各家总经理报告资安执行状况及决议事项。

为让信息安全的理念深植全公司，我们更设有「资安执行小组」，并透过建立事故管 理的定期演练及信息分级制度，每年针对勒索软体的情境进行推演，强化同仁在事发当下对于流程工作的掌握，以及加快时发当下的决策和通报速度。

为确保资讯安全、达成客户期待之质量并同时保护隐私，本集团依循国际ISO 27001标准的要求，订定公司资讯保护管理流程。 富采集团台湾全厂区于2023年取得ISO 27001资安认证，达到符合国际标准的资安管理作业程序，希望藉由通过国际验证，降低企业资安威胁，建立最高规格的机密资讯保护服务，以保护客户的智慧财产权、制程参数等机密资料。

为降低风险发生机率，并减少其影响冲击，本集团积极导入管理系统作为风险因应对策，除了透过导入第三方资安风险评比外，每年度皆会进行例行性资产盘点、帐号清查与内部审计，并与总经理及相关单位主管召开资安管理审查会议，富采及台湾各子公司亦额外进行每年一次的业务持续演练。目前集团各子公司于第三方风险评比等级皆为A级，高于产业平均。

 

 

富采制定事故应变机制，以准备、防护、侦测、遏止、根除、复原、检讨，7大流程进行处理。在准备层面，全面导入端点侦测及回应（Endpoint detection and response， EDR）工具，以及第三方监控机制，实时侦测应变。除了日常备份工作亦保存离线备份，每年依应变计划执行事故应变演练，在防护层面，透过弱点扫描以及第三方风险监控平台，掌握漏洞风险状态，每周会议进行修补进度汇报，管理者针对备份进行还原测试。侦测到事故时，进行事故分级的判断及通报，首要目标进行遏止，进行断网等隔离措施，以降低事故所带来冲击，并搜集与妥善保存数字证据，以利根因调查后根除威胁再发。