信息安全治理

在数字化的浪潮中，我们深知信息安全是企业永续经营的基石，也是我们对所有利害关系人最坚定的承诺。本公司不仅遵循法规，更以领先业界的标准，致力于保护客户、员工与合作伙伴的宝贵信息资产。我们将信息安全视为组织文化的一部分，通过持续性的投入与精进，确保业务运营的稳固与创新。

为强化本公司信息资产（包含数据、软件、硬件设备等）的保护，并确保业务持续运作，力成科技股份有限公司（以下简称本公司）特此订定本信息安全政策。本政策旨在保护公司信息免于因外部威胁或内部不当管理所导致的篡改、揭露、破坏或遗失等风险，确保公司重要信息资产的机密性、完整性及可用性。

本公司将从公司治理角度出发，依据相关法令与运营目标，定期进行信息安全风险评估。董事会与高阶管理阶层将定期检视信息安全议题与现况，作为制定资安策略与目标的依据。

为达成上述目标，本公司将依循ISO/IEC 27001：2022指导规范，发展、维护及持续改善信息安全管理系统，包含但不限于：

本政策适用于本公司所有信息系统、业务与员工，旨在通过完善的资安管理，提升客户信赖、强化竞争优势，并确保公司重要业务的永续运作。

为落实本公司信息安全，本公司使用三重资安防线架构，于风险管理委员会下成立信息安全委员会，负责推动、统筹与监督公司整体信息安全管理与运营事宜，再由各部门人员与IT负责执行各项IT系统、信息化日常作业、信息管理及设备维护…等。

力成科技于2016年2月成立“信息安全委员会”，负责推动与统筹资安管理系统之建置及维运，除了取得ISO 27001信息安全管理认证，并定期向风险管理委员会报告资安管理进度，再交由风险管理委员会呈报给董事会，提升信息安全之水准。

信息安全委员会每年召开一次会议，必要时可召开临时会，议程内容涵盖资安趋势分析、资安事件报告、资安防护工作进度报告、跨部门协调事项及其他相关讨论。

运用美国国家标准暨技术研究院制订的网络安全框架（NIST-CSF），评估整体资安成熟度，规划资安发展蓝图，决定优先级与分配资源，落实持续改进计划。

力成科技从确保敏感信息、强化网络安全、端点安全防护及加强人员意识等四个层面进行严密的信息安全保护措施，共同维护整体信息环境的稳定。力成科技制定并披露资安政策让全員知悉，并将资安内化为每位人员的日常习惯，并持续投入建置信息安全领域的成熟度。

本公司致力于全面性的资安防护，通过多层次的技术与管理措施，确保使用者装置与企业资料的安全。我们除了安装防毒软件、端点侦测与回应（EDR）系统，并定期更新操作系统与应用程序来防御恶意软件与资料外泄外，更进一步导入以下措施：

资安弱点扫描与渗透测试
我们定期进行这两项测试，主动发掘潜在的系统漏洞，并已完成处理具风险的资安漏洞。
托管式侦测与回应（MDR）与扩展式侦测与回应（XDR）
除了EDR，我们也采用MDR与XDR服务，借由外部专业团队的协助与更广泛的数据关联分析，提升对复杂威胁的侦测与应变能力。
网段隔离
本公司实施了网络区段隔离措施，将不同业务与系统的网络区段进行物理或逻辑上的区隔。这项措施有助于限制未经授权的存取，并有效阻止恶意软件在内部网络的扩散，从而降低整体风险。
储存装置管理
我们制定了严格的储存装置管理规范，包括资料加密、定期备份及存取权限控制。所有储存装置，无论是服务器、工作站或行动装置，均须符合这些规范，以确保资料的机密性、完整性与可用性。
网络行为管理
本公司利用多种技术来监控与管理网络行为，包括入侵侦测系统（IDS）、入侵防御系统（IPS）及防火墙。这些工具能即时识别并阻挡恶意流量与不当行为，确保网络环境的安全与稳定。