資訊安全與隱私保護
資訊安全為維繫企業營運穩定與利害關係人信任的關鍵。倚天酷碁高度重視資安議題,全面對齊宏碁集團資安政策與制度規範,並以長期推動資安管理強化為目標。透過組織機制、標準流程與持續演練,建構前瞻且具韌性的資安管理體系,守護企業數位資產與資訊安全。
資訊安全
倚天酷碁依循宏碁集團資訊安全政策,落實資安防護與風險管理,並由公司指定的資安管理代表帶領資訊工作人員,整合各單位資訊與研發技術,確保資訊安全機制的執行與維護。倚天酷碁定期與宏碁總部資安團隊進行內部風險評估,確保符合企業與法規要求,並透過資安稽核機制,檢視各項資訊安全措施的有效性,持續優化應變能力。雖然倚天酷碁尚未取得 ISO 27001 認證,但所有資安管理規範皆遵循宏碁集團標準,確保資訊安全符合企業運營與法規要求。此外,倚天酷碁已建立資安事件應變計畫,當發生資安事件時,將立即啟動應變流程,包括:
為強化資安韌性,倚天酷碁亦推動長期資安強化計畫,重點包括:
倚天酷碁資安保護組織
資訊安全策略
為確保資訊安全,倚天酷碁全面導入宏碁集團資訊安全管理架構,並由公司指定的資安管理代表帶領資訊團隊執行資訊安全強化措施,確保資訊安全機制的持續優化與落實。倚天酷碁透過定期內部風險評估,與宏碁總部資安團隊密切合作,確保資訊安全策略符合企業營運需求與法規要求。核心策略如下:
資安政策與架構強化
● 依循宏碁集團標準,落實資安政策與管理架構,確保內部資安管理符合國際標準。
● 持續強化資安政策、流程與控管機制,提升企業資訊安全成熟度。
網路安全與存取管理
● 強化網路防火牆與存取管理,防範外部攻擊及未經授權的存取行為。
● 導入網路架構微分割機制,避免惡意軟體橫向擴散,降低企業內部網路安全風險。
帳號與權限管理
● 導入特權帳號多層次控管機制,防止敏感權限遭濫用或外洩,提高存取安全性。
● 加強身份驗證與存取監控,確保權限授予符合資安標準。
端點安全與應用程式防護
● 導入端點管理機制,加強企業 IT 設備的管理與保護,降低端點攻擊風險。
● 持續監控端點安全狀態,防範惡意軟體與潛在威脅。
資安事件應變與復原能力
● 定期執行資安事件應變演練,確保事件發生時可快速應對,降低影響範圍。
● 建立雲端資安自動化控管架構,提升應變與即時監測能力。
備份與災難復原機制
● 強化資料備份策略,確保關鍵業務資料可快速恢復,降低營運中斷風險。
● 導入異地備援與災難復原計畫,提升企業資安韌性,確保業務連續性。
長期資安強化計畫
● 提升內部資安意識:透過員工資安教育訓練,提高資安意識與防範能力。
● 持續優化監控與防禦機制:進行定期滲透測試,提升異常偵測與應變能力。
● 加強雲端資安與自動化管理,確保企業資訊安全架構符合最新標準。
資安培訓與意識提升
為強化全體員工的資安意識,倚天酷碁依據宏碁集團資安政策持續推動教育訓練,2024 年度資安相關訓練成果如下:
● 資安線上教育訓練:2024 年度,共有 97 人次完成資安線上教育訓練課程,涵蓋資安政策、資訊安全作業流程、社交工程防護、常見攻擊手法等內容。
● 隱私保護教育訓練:2024 年度,共有 41 人次參與宏碁全球隱私保護教育訓練,內容包含個人資料保護原則、資料處理規範與風險辨識管理。
此外,倚天酷碁亦持續提升資安防護能力,透過課程及實務演練強化全體員工資安防護與應變能力,建構完善資安治理機制,以因應日益嚴峻的資安威脅。
隱私保護
倚天酷碁遵循宏碁集團的全球隱私保護政策,致力於保護客戶、員工及合作夥伴的個人資料,並確保所有資料收集、處理與儲存皆符合相關法規與企業內部規範。為確保資訊隱私安全,公司指定對應之個資保護負責人,負責執行隱私保護相關政策,並與宏碁集團資安及法務部門保持緊密合作,確保個人資料保護機制的有效落實。
隱私保護政策與承諾
● 依循國際標準:倚天酷碁參考 ISO 27701(個人資訊管理系統)、歐盟 GDPR(一般資料保護規範)及台灣個資法,確保隱私保護符合國際與在地法規。
● 隱私管理機制:建立內部隱私保護規範,要求所有涉及個人資料處理的單位遵循個人資料管理原則等內規,包含客戶資料、員工個資及供應鏈合作資訊。
● 透明資訊處理:倚天酷碁確保所有個人資料的蒐集、使用及儲存皆以合法且合乎道德的方式進行,並明確告知當事人相關權益與使用範圍。
● 隱私管理機制:建立內部隱私保護規範,要求所有涉及個人資料處理的單位遵循個人資料管理原則等內規,包含客戶資料、員工個資及供應鏈合作資訊。
● 透明資訊處理:倚天酷碁確保所有個人資料的蒐集、使用及儲存皆以合法且合乎道德的方式進行,並明確告知當事人相關權益與使用範圍。
隱私保護行動方案
● 參與宏碁全球隱私保護教育訓練,2024 年已有41 人次完成培訓,內容涵蓋隱私保護原則、個資處理與風險管理。
● 定期舉辦個資保護內部教育,確保全體員工皆具備隱私意識與風險防範能力。
● 隱私風險評估:定期與宏碁資安團隊進行內部隱私風險評估,識別可能風險並改善防護機制。
● 存取權限管理:導入最小權限管理原則,確保僅有經授權人員能夠存取特定個資。
● 資料去識別化技術:對於敏感資料進行加密與去識別化,確保資料外流風險降至最低。
● 個資事件應變:如發生個資外洩,公司將依據資安與隱私保護應變計畫,即時通報宏碁集團資安團隊與法務部門,並進行事件調查及補救措施。
● 利害關係人申訴機制:建立完整的個資管理與客訴處理機制,確保客戶與員工可透過 申訴管道 反映隱私疑慮。