信息安全管理政策
为确保公司暨信息安全有关数据、信息系统、设备及网络之安全,公司于 2021 年 7 月设立信息安全委员会,由总经理担任主任委员,负责统筹公司信息安全政策与治理事宜。总经理为确认信息安全管理体系的适宜性、充分性和有效性,每年对信息安全管理体系进行一次评审。该管理评审包括对信息安全管理体系是否需改进或变更的评价,以及对安全方针、安全目标的评价。
公司于 2022 年 7 月董事会修订《计算机信息处理循环》,设置信息安全专员及信息安 全主管一职,综理信息安全政策推动及资源调度事务。
为保障联德之产品与服务在开发、生产与交付过程中的信息安全,防范未经授权之存取、变更、滥用或揭露,并降低因自然灾害或资安事件导 致之营运中断风险,本公司致力于建立与维护信息安全管理制度,确保 关键信息资产之机密性、完整性与可用性。相关管理措施皆遵循适用法 令与客户要求,并结合国际标准如 ISO/IEC 27001 进行持续精进,以强 化外部信任、实践对客户与股东的承诺,确保公司核心业务得以稳定、安全且持续运作。2024 年未发生重大之资安事件,也未有接获侵犯客户隐私或遗失客户资料的投诉。
我们重视信息安全与客户数据保护,依据 ISO/IEC 27001 国际标准建置 信息安全管理系统(ISMS)并取得验证。为确保制度有效运作,公司每年至少办理一次内部自我稽核及一次由公正第三方执行之外部稽核,并每三年进行一次证书重新验证作业,以持续维持 ISO 27001 认证之有效性。
(1) 维持各信息系统永续运作
(2) 防止黑客、各种病毒入侵及破坏
(3) 防止人为意图不当及不法使用
(4) 防止机敏数据外泄
(5) 避免人为疏失意外
(6) 维护实体环境安全
信息安全管理框架
信息安全管理委员会组织结构
(版本:V3.0)
资安事件与因应
| 发生日期 | 信息安全事件说明 | 影响等级 | 破坏程度 | 决议日期 |
|---|---|---|---|---|
| 2025/10/17 | 台电进行维护停电作业,计划性停止机房内部网络及主机服务 | 1 | 无 | 2025/10/19 |
| 2025/10/25 | 台电进行维护停电作业,计划性停止机房内部网络及主机服务 | 1 | 无 | 2025/10/26 |
资安教育成果
为提升全体员工资安意识并建构预防文化,本公司持续推动多元资安教育训练及实战演练,并将训练纪录纳入公 司稽核及永续报告揭露范畴。
全员年度训练(2025年) : 涵盖信息安全倡导及通识软件教育训练
灾害复原/应变模拟演练:
包含多场内部演练,重点涵盖业务所需之数据及设备应变,强化员工辨识与防护能力。
弱点扫描:
包含对外暴露地址弱点评估,重点包含关键节点之防护及风险降低之参考依据。
新进员工:
须完成签署聘雇暨保密契约书,并参考「上市上柜公司资通安全管控指引」建议,参与内部信息安全教育训练。
高阶主管及董事会成员:
每年至少参与一次资安与法规倡导课程。
2025年度信息安全执行成果报告已于2025年12月18日于董事会报告,相关附件如下: