資訊安全治理

在數位化的浪潮中，我們深知資訊安全是企業永續經營的基石，也是我們對所有利害關係人最堅定的承諾。本公司不僅遵循法規，更以領先業界的標準，致力於保護客戶、員工與合作夥伴的寶貴資訊資產。我們將資訊安全視為組織文化的一部分，透過持續性的投入與精進，確保業務營運的穩固與創新。

為強化本公司資訊資產（包含資料、軟體、硬體設備等）的保護，並確保業務持續運作，力成科技股份有限公司（以下簡稱本公司）特此訂定本資訊安全政策。本政策旨在保護公司資訊免於因外部威脅或內部不當管理所導致的竄改、揭露、破壞或遺失等風險，確保公司重要資訊資產的機密性、完整性及可用性。

本公司將從公司治理角度出發，依據相關法令與營運目標，定期進行資訊安全風險評估。董事會與高階管理階層將定期檢視資訊安全議題與現況，作為制定資安策略與目標的依據。

為達成上述目標，本公司將依循ISO/IEC 27001：2022指導規範，發展、維護及持續改善資訊安全管理系統，包含但不限於：

本政策適用於本公司所有資訊系統、業務與員工，旨在透過完善的資安管理，提升客戶信賴、強化競爭優勢，並確保公司重要業務的永續運作。

為落實本公司資訊安全，本公司使用三重資安防線架構，於風險管理委員會下成立資訊安全委員會，負責推動、統籌與監督公司整體資訊安全管理與營運事宜，再由各部門人員與IT負責執行各項IT系統、資訊化日常作業、資訊管理及設備維護…等。

力成科技於2016年2月成立「資訊安全委員會」，負責推動與統籌資安管理系統之建置及維運，除了取得ISO 27001資訊安全管理認證，並定期向風險管理委員會報告資安管理進度，再交由風險管理委員會呈報給董事會，提升資訊安全之水準。

資訊安全委員會每年召開一次會議，必要時可召開臨時會，議程內容涵蓋資安趨勢分析、資安事件報告、資安防護工作進度報告、跨部門協調事項及其他相關討論。

運用美國國家標準暨技術研究院制訂的網路安全框架（NIST-CSF），評鑑整體資安成熟度，規劃資安發展藍圖，決定優先級與分配資源，落實持續改進計畫。

力成科技從確保敏感資訊、強化網路安全、端點安全防護及加強人員意識等四個層面進行嚴密的資安保護措施，共同維護整體資訊環境的穩定。力成科技制訂並揭露資安政策讓全員知悉，並將資安內化為每位人員的日常習慣，並持續投入建置資訊安全領域的成熟度。

本公司致力於全面性的資安防護，透過多層次的技術與管理措施，確保使用者裝置與企業資料的安全。我們除了安裝防毒軟體、端點偵測與回應（EDR）系統，並定期更新作業系統與應用程式來防禦惡意軟體與資料外洩外，更進一步導入以下措施：

資安弱點掃描與滲透測試
我們定期進行這兩項測試，主動發掘潛在的系統漏洞，並已完成處理具風險的資安漏洞。
託管式偵測與回應（MDR）與擴展式偵測與回應（XDR）
除了EDR，我們也採用MDR與XDR服務，藉由外部專業團隊的協助與更廣泛的數據關聯分析，提升對複雜威脅的偵測與應變能力。
網段隔離
本公司實施了網路區段隔離措施，將不同業務與系統的網路區段進行物理或邏輯上的區隔。這項措施有助於限制未經授權的存取，並有效阻止惡意軟體在內部網路的擴散，從而降低整體風險。
儲存裝置管理
我們制定了嚴格的儲存裝置管理規範，包括資料加密、定期備份及存取權限控制。所有儲存裝置，無論是伺服器、工作站或行動裝置，均須符合這些規範，以確保資料的機密性、完整性與可用性。
網路行為管理
本公司利用多種技術來監控與管理網路行為，包括入侵偵測系統（IDS）、入侵防禦系統（IPS）及防火牆。這些工具能即時識別並阻擋惡意流量與不當行為，確保網路環境的安全與穩定。

業務連續性計畫（BCP）
為確保在面臨重大資安事件時仍能維持核心業務運作，本公司已建立完善的業務連續性計畫（BCP）。我們將此計畫視為資安管理的核心環節，並透過以下方式持續強化。
年度資安總體演練
每年舉行一次全面的資安總體演練，模擬多種資安攻擊情境，測試各部門的應變能力與協同效率，確保能在緊急情況下迅速恢復運作。
固定BCP演練
除了年度演練，我們也會進行常態性的BCP演練，以持續優化應變流程，並確保所有員工熟悉緊急應變程序，以實現快速恢復業務運行的目標。
資安保險
為進一步分散風險，我們已投保資安保險，在發生重大資安事故時能獲得財務上的保障。