智原明訂「資訊安全政策」,承諾落實資訊安全管控,2023年導入資訊安全管理系統(ISMS)並於11月取得ISO/IEC 27001:2022國際標準認證,每年由SGS台灣檢驗科技執行ISO 27001外部稽核,確保組織透過PDCA落實國際標準。而對於違反資安政策造或侵害隱私權事件,也將依照相關程序進行懲處。

保護客戶及合作夥伴的利益,恪守法遵、商業道德及信任

維護公司研發及營運成果,確保市場競爭力,永續經營


資訊安全風險管理與執行架構(PDCA)

為落實資訊安全政策,智原成立風險管理委員會,整合各作業單位,識別潛在風險及營運衝擊,執行風險控制方案。此外,風險管理委員會下設有資訊安全委員會,負責制定與執行資訊安全政策,強化管理,並預先掌握風險,快速應變。


控制面向 風險說明 對應措施
資訊安全技術 盤點資訊安全防護措施,確保重要資訊的安全與系統穩定運作 強化資訊安全技術與防護機制
人員資訊安全意識 人為因素為關鍵資訊安全風險之一,確保所有人員具備足夠的資訊安全意識,以降低風險 教育訓練與宣導,提升資訊安全意識
資訊安全稽核 建置完整稽核程序,並定期檢視執行成效,以確保資訊安全措施的落實 定期執行內外部資訊安全稽核
供應鏈管理 供應鏈風險已成為近年來重要的資訊安全挑戰,確保供應鏈資訊安全措施落實,以降低潛在風險 強化供應鏈資訊安全管理與防護機制

資訊安全風險衝擊與因應對策

風險管理委員會根據資訊安全目標,針對不同風險類型擬定相關風險情境,定期執行風險評鑑作業,並根據評鑑結果,將超出可接受範圍的風險情境納入處理計畫。此外,我們為資訊安全事件設置等級分類,並制定相應的通報流程及處理措施,確保在資訊全安事故發生時能迅速通報並採取適當的應對措施,以減少損害並預防類似事件再次發生。


強化資訊安全技術與防護機制

落實網路安全、存取控制與資料保護、實體與環境安全、終端設備與使用環境管理、威脅偵測與防護、系統安全與供應商安全等措施,確保資訊安全管理完善,有效防範外部駭客侵入與內部機密洩漏。

教育訓練與宣導,提升資訊安全意識

  • 新進員工報到時即須簽署保密文件,並接受資訊安全教育訓練,全球新人受訓率為100%。
  • 每年舉辦資訊安全政策及案例宣導課程。2024年,全球參與資訊安全宣導人次3471,完成資訊安全教育訓練人次1219。
  • 為提升員工對社交工程郵件的防護意識,2024年共執行2次社交工程演練,參與人次2039人次。

定期執行內外部資訊安全稽核

  • 內部稽核
    每年由管理政策與稽核小組負責執行,稽核涵蓋公司在管理、網路環境、權限管控、教育認知、備份/備援、實體環境等六大面向,全面檢查相關制度流程與執行紀錄,確保資訊保護的機密性、完整性及有效性,並持續提升資訊安全防護水準。內部稽核後,稽核小組成員將針對發現的問題進行矯正處理與跟進,並於管理審查會議中檢討資訊安全管理系統(ISMS)的運行效果。
  • 外部稽核
    每年由SGS台灣檢驗科技協助依照ISO/IEC 27001標準進行,確保組織透過PDCA循環,落實國際標準的資訊安全管理。

強化供應鏈資訊安全管理與防護機制

將資訊安全納入供應商管理與評鑑,內容涵蓋左圖的六大構面,制定《供應商資訊安全管理規範》,對新供應商進行評估,並每年稽核合格供應商。此外,供應商進入重點區域須簽署保密協議,攜帶設備接入網路亦須審核。


資訊安全執行成果

資安情資/事件應變

  • 0件侵犯客戶隱私或遺失客戶資料的投訴
  • 100% Mail Out Keyword覆核率
  • 99.1% Spam mail阻擋率
  • 12次彙報外部資安事件及因應做法

教育訓練與宣導

  • 100%新進員工完成資安教育訓練
  • 1,219人次完成線上資安教育訓練課程
  • 4次資安宣導;3,471人次完成閱讀
  • 2次社交工程演練;共計2,039人次

人員任用/環境安全

  • 100%新進同仁簽署保密合約、智財歸屬切結書
  • 100%離職同仁啟動資安管控
  • 12次環境巡檢及改善
  • 0次非核准訪客闖入辦公室事件
  • 0次主要廠務設備故障發生事件

稽核

  • 45次資訊安全紀錄稽核
  • 100%內部資安定期稽核完成率
  • 100%外部資安定期稽核完成率
  • 20家供應商資訊安全稽核通過