资讯安全管理

 

本集团之资讯安全政策

资讯安全与隐私的控管已然成为日常业务执行中不可或缺的一部份,富采各子公司皆制定资讯安全政策保护客户的隐私,为防止未经授权使用电脑系统,依据「个人资料保护管理办法」,各部门使用者必须申请使用者代码与应用程式,经该单位主管、资讯单位主管核准后,以取得正式使用电脑系统之管道。针对非相关作业人员,将无法获取客户相关资料,确保客户的隐私受到保护。

本集团母公司已设置资安管理专责部门,负责集团之资讯安全维运、资讯安全架构、资讯安全政策及其他有关资讯安全之专案及查核作业,以利带领各子公司共同实现富采资讯安全之目标。

此外,我们于ESG 企业永续委员会下成立「资讯安全委员会」,督导母公司及子公司之资讯安全制度,并藉由定期鉴别、外部资讯安全管理风险以达成利害关系人对于富采资讯安全的要求与期待。


√ 2022 年本集团无因侵犯客户隐私权及遗失客户资料而被抱怨之事件发生。

 

资安管理架构

欲确保与资安相关之各项执行策略、目标与绩效检核,本集团特别成立「资讯安全委员会」,将资讯安全目标与层级再提升,明定资讯安全政策及相关办法,每位同仁皆需接受资安教育训练、遵守「资讯分级保护管理办法」的规定,以符合相关法令、技术与利害关系人之期待,并与营运策略相连结,善尽良善管理人之责任。

为让资讯安全的理念深植全公司,我们更设有「资安执行小组」,并透过建立事故管理的定期演练及资讯分级制度,每年针对勒索软体的情境进行推演,强化同仁在事发当下对于流程工作的掌握,以及加快时发当下的决策和通报速度。

 

资讯保护流程与验证

为确保资讯安全、达成客户期待之品质并同时保护隐私,本集团依循国际 ISO 27001 标准的要求,订定资讯保护管理流程。富采于2022 年取得ISO 27001 资安认证,达到符合国际标准的资安管理作业程序,子公司晶电已于2010 年取得ISO 27001 资安认证,子公司隆达及晶成预计将于2023 年完成验证。希望藉由通过国际验证,降低企业资安威胁,建立最高规格的机密资讯保护服务,以保护客户的智慧财产权、制程参数等机密资料。

为降低风险发生机率,并减少其影响冲击,富采积极导入管理系统作为风险因应对策,除了透过导入第三方资安风险评比外,每年度皆会进行例行性资产盘点、帐号清查与内部稽核,并与总经理及相关单位主管召开资安管理审查会议,晶电及隆达亦额外进行每年一次的业务持续演练。

目前富采各子公司于第三方风险评比等级皆为A 级,高于产业平均。

 

资讯安全验证架构

 

资安训练
  • 专责资安同仁每年必须接受14 小时以上的资安教育训练。
  • 新进同仁100% 通过公司完整资安训练,完成后方可申请对外网路的使用权限,以确保同仁清楚了解公司资安政策。
  • 每年不定时对全集团员工实施钓鱼演练,若有遭钓鱼的同仁则需再次接受资安钓鱼邮件的课程并且通过测验,以防富采及各同仁减少遭至病毒攻击或机密资料外泄的情形发生。 2022 年度受训率为100%。