资讯安全作为

资讯安全组织

在当前数位化的浪潮下，网路、IT 系统和数据安全的重要性日渐攀升，主管机关和利害关系人对公司资讯安全的要求和期待也与日俱增，若是公司系统品质低下，发生资料外漏事件或遭遇服务中断事件会导致高昂的成本并造成公司的声誉受损。有监於此，立积成立跨部门资讯安全管理小组，由总经理为小组召集人，资讯部门与行政管理部门负责主导及规划，各业务相关单位配合执行;资讯安全管理小组定期召开会议检讨公司资安系统运作的执行情形，并规范每年至少 1 次向董事会报告公司资讯安全事务的执行情形，以取得来自公司最高层级的建议与指导，藉此确保公司资讯安全管理运作之有效性。资安小组於 2023 年 12 月 21 日向董事会报告公司的资安事务运作状况，并获得董 事会的指导与确认。

资讯安全政策

为确保本公司提供的资讯服务可稳定使用，并能有效保障员工、供应商及客户相关资讯资产之机密性、完整性与可用性，立积定有经董事会通过之「资讯安全风险管理政策与程序」，规范公司在资讯资产盘点、资讯安全宣导、公司资料保密、资讯设备维护与备援、个人电脑安全系统维护、资讯安全事件通报之作为，藉此保障公司资讯业务的永续运作。

本公司透过资讯安全管理程序文件，确保各项系统电子资料安全性与正确性，并达到使公司营运业务持续正常运作之政策目标。 本政策涵盖公司所有的系统资料及资讯设备，并明文规范公司的资讯安全控管作业(包含权限控管、档案管理和防毒措施)、资料处理作业、资讯设备管理与维护作业、表单填写作业及表单保存期限，以此确保公司系统能够有效的进行分级管控、重要资料能够受到妥善的保管和检阅审核、资讯系统能够有充分的保护和备援;此外，公司亦定期建置资料备份系统进行灾难复原演练，配合资安系统建构有效资讯安全防护环境，确保企业持续营运。2022 年本公司共执行了 13 次资讯系统安全更新、6 次应用系统安全更新、6 次邮件主机系统安全更新、1 次防火墙升级、1 次内部端点扫描(健检)和员工电脑 EDR 扫描(健检)，透过多层次的系统更新升级与系统健检，确保公司的资讯系统安全无虞。

2022 年资安管理规划

1. 每年安排外部资安厂商针对公司进行一次资安健检 / 演练(包含 电子邮件社交工程演练 / 弱点侦测)
2. 每年安排一次资料还原演练，针对重要的备份资料进行还原验证，确保还原的资料正确无误
3. 每年应安排至少一次系统安全更新，针对重大系统漏洞进行修补(patch)更新
4. 应建立资安通报机制，并成立资安小组，进行全面性的资安管理

立积电子资讯安全管理措施

资讯安全教育训练

为建立同仁的资讯安全观念，使每一位员工都成为公司资讯安全保护网的一环，立积针对每一位新进员工都进行资讯安全教育训练，并且不定时的透过电子邮件对公司同仁进行资安宣导。资安新人教育训练涵盖公司资讯系统介绍、文件管理系统介绍、电子表单操作介绍、电脑及网路使用规范、USB 使用注意事项等议题，由公司资安主管向所有新进同仁进行引导说 明，以确保其能够有效依循公司的资讯安全制度与规范。公司亦持续观察当前社会的资讯安全现况，针对其中的高度风险议题制作资讯安全宣导，寄发给全公司同仁以避免危害事件发生，2022 年透过内部公告系统，进行多次资讯安全宣导，议题包含帐户安全管理及钓鱼诈骗信件等，藉此提高同仁的资安意识和使用email 的警觉心，并提醒同仁定期进行系统登入密码更换;我们透过线上方式於 11 月举行年度资安教育 训练，向全公司同仁分享国内外资安事件及其造成的损失，提醒同仁常见的资安风险、骇客攻击手法、社交工程及密码管理注意事项，共有 299 人参与、累计时数共 299 小时，我们并将课程录影留在公司的文管系统，方便同仁随时进行线上学习与复习。

2022 年资安教育训练规划

1. 每年办理 2 次资讯安全教育训练，每次最少一小时(包含资安意识 / 社交工程)
2. 不定期对内发布相关资安通报(提供特殊的资安件分析报告)

客户隐私

立积重视客户的个人资料与客户隐私，以严谨负责的态度蒐集并管理客户资讯。在与客户签约时，我们将保密协议书列为正式合约的一部分，以正式的文件规范公司同仁及合作夥伴双方都需确实遵循资料保密行为;在取得客户资讯後，资料会立即建档以电子化的形式留存，透过公司的资讯安全管理系统进行维护，并搭配帐户权限管理机制，确保公司能够有效控管客户隐私资料的使用。此外，本公司设有专人及电子邮件信箱，处理有关公司消费者权益申诉之相关问题，确保消费者之申诉能够被公平且即时的回应。2022 年，立积无发生任何违反客户隐私之投诉事件。