智原明訂「資訊安全政策」,承諾落實資訊安全管控,2023年導入資訊安全管理系統(ISMS)並於11月取得ISO/IEC 27001:2022國際標準認證,每年由SGS台灣檢驗科技執行ISO 27001外部稽核,確保組織透過PDCA落實國際標準。而對於違反資安政策造或侵害隱私權事件,也將依照相關程序進行懲處。
保護客戶及合作夥伴的利益,恪守法遵、商業道德及信任
維護公司研發及營運成果,確保市場競爭力,永續經營
資訊安全風險管理與執行架構(PDCA)
為落實資訊安全政策,智原成立風險管理委員會,整合各作業單位,識別潛在風險及營運衝擊,執行風險控制方案。此外,風險管理委員會下設有資訊安全委員會,負責制定與執行資訊安全政策,強化管理,並預先掌握風險,快速應變。
控制面向 | 風險說明 | 對應措施 |
資訊安全技術 | 盤點資訊安全防護措施,確保重要資訊的安全與系統穩定運作 | 強化資訊安全技術與防護機制 |
人員資訊安全意識 | 人為因素為關鍵資訊安全風險之一,確保所有人員具備足夠的資訊安全意識,以降低風險 | 教育訓練與宣導,提升資訊安全意識 |
資訊安全稽核 | 建置完整稽核程序,並定期檢視執行成效,以確保資訊安全措施的落實 | 定期執行內外部資訊安全稽核 |
供應鏈管理 | 供應鏈風險已成為近年來重要的資訊安全挑戰,確保供應鏈資訊安全措施落實,以降低潛在風險 | 強化供應鏈資訊安全管理與防護機制 |
資訊安全風險衝擊與因應對策
風險管理委員會根據資訊安全目標,針對不同風險類型擬定相關風險情境,定期執行風險評鑑作業,並根據評鑑結果,將超出可接受範圍的風險情境納入處理計畫。此外,我們為資訊安全事件設置等級分類,並制定相應的通報流程及處理措施,確保在資訊全安事故發生時能迅速通報並採取適當的應對措施,以減少損害並預防類似事件再次發生。
強化資訊安全技術與防護機制
落實網路安全、存取控制與資料保護、實體與環境安全、終端設備與使用環境管理、威脅偵測與防護、系統安全與供應商安全等措施,確保資訊安全管理完善,有效防範外部駭客侵入與內部機密洩漏。
教育訓練與宣導,提升資訊安全意識
- 新進員工報到時即須簽署保密文件,並接受資訊安全教育訓練,全球新人受訓率為100%。
- 每年舉辦資訊安全政策及案例宣導課程。2024年,全球參與資訊安全宣導人次3471,完成資訊安全教育訓練人次1219。
- 為提升員工對社交工程郵件的防護意識,2024年共執行2次社交工程演練,參與人次2039人次。
定期執行內外部資訊安全稽核
- 內部稽核
每年由管理政策與稽核小組負責執行,稽核涵蓋公司在管理、網路環境、權限管控、教育認知、備份/備援、實體環境等六大面向,全面檢查相關制度流程與執行紀錄,確保資訊保護的機密性、完整性及有效性,並持續提升資訊安全防護水準。內部稽核後,稽核小組成員將針對發現的問題進行矯正處理與跟進,並於管理審查會議中檢討資訊安全管理系統(ISMS)的運行效果。 - 外部稽核
每年由SGS台灣檢驗科技協助依照ISO/IEC 27001標準進行,確保組織透過PDCA循環,落實國際標準的資訊安全管理。
強化供應鏈資訊安全管理與防護機制
將資訊安全納入供應商管理與評鑑,內容涵蓋左圖的六大構面,制定《供應商資訊安全管理規範》,對新供應商進行評估,並每年稽核合格供應商。此外,供應商進入重點區域須簽署保密協議,攜帶設備接入網路亦須審核。
資訊安全執行成果
資安情資/事件應變
- 0件侵犯客戶隱私或遺失客戶資料的投訴
- 100% Mail Out Keyword覆核率
- 99.1% Spam mail阻擋率
- 12次彙報外部資安事件及因應做法
教育訓練與宣導
- 100%新進員工完成資安教育訓練
- 1,219人次完成線上資安教育訓練課程
- 4次資安宣導;3,471人次完成閱讀
- 2次社交工程演練;共計2,039人次
人員任用/環境安全
- 100%新進同仁簽署保密合約、智財歸屬切結書
- 100%離職同仁啟動資安管控
- 12次環境巡檢及改善
- 0次非核准訪客闖入辦公室事件
- 0次主要廠務設備故障發生事件
稽核
- 45次資訊安全紀錄稽核
- 100%內部資安定期稽核完成率
- 100%外部資安定期稽核完成率
- 20家供應商資訊安全稽核通過