信息安全政策

一、信息安全治理制度、目标与策略

创意电子以打造严密有效的资安防御网为信息安全愿景，以资安治理一致性为基础，逐步提升全方位防护能力，期望成为于资安治理成熟度表现杰出之企业。信息安全部统筹信息安全制度及合规遵循，并推动相关作业的落实，持续提升资安意识与专业能力。透过技术的运用，识别资安风险与弱点，并进行有效的强化，建构完善的治理制度与全方位的资安防护能力，同时培养同仁良好的信息安全意识。

二、资讯安全政策落实

1. 建立符合法规与客户需求之资讯安全管理规范
2. 透过全员认知，达成资安防护，全面落实的共识
3. 保护公司与客户资讯的机密性、完整性、可用性与法律遵循性

三、资讯安全组织

1. 信息安全委员会

「信息安全委员会」负责执行信息作业安全管理规划，建置与维护信息安全管理体系，由信息安全主管督导全公司信息安全作业执行以及资安风险管理机制之有效性，向财务长&治理主管报告，每季必须向高阶主管管理会议与每年向董事会呈报整体信息安全管理组织相关资安管理作业及制度之执行成效，为信息安全最高负责主管。每年至少召开一次「资安代表会议」，与会者包括相关信息系统负责人与外部资安顾问，与会人数超过13位，负责审查信息安全发展计划、执行成果及宣达相关信息安全政策与执行要点。

2.资讯安全委员会

「资讯安全委员会」负责执行资讯作业安全管理规划，建置与维护资讯安全管理体系，由资讯安全主管督导全公司资讯安全作业执行以及资安风险管理机制之有效性，并定期向董事会呈报整体资讯安全管理组织相关资安管理作业及制度之执行成效，为资讯安全最高负责主管。每年召开「资安代表会议」，审查资讯安全发展计画、执行成果及宣达相关资讯安全政策与执行要点。

2. 机密资讯保护(Proprietary Information Protection, PIP)委员会

PIP委员会：由全公司(含全球分公司)各部门主管指派代表组成，包含主席共计20位同仁，由副总级主管每季召开会议，负责全公司的机密信息管制作业之研议、建置、稽核与推动等事项。并因应机密保护需求，召开临时会议保护机密信息是创意电子对顾客、股东及公司同仁的承诺。创意电子了解机密信息保护攸关公司现在与未来的竞争优势，制定《机密信息保护（Proprietary Information Protection, PIP）》政策明定公司机密信息保护的管理程序及规范，妥善控管公司的营业秘密及相关创意电子未经公开揭露的机密信息，以确保公司、股东、员工、客户及供货商的最佳利益。创意电子的机密信息保护，是依据规划、执行、查核与行动（Plan-Do-Check-Act, PDCA）的管理循环，持续不断强化机密信息保护的能力，并提升人员对机密信息保护的正确观念及警觉性，降低机密信息外泄的风险。并制定管理办法，将信息安全与诚信经营纳入员工的绩效考核，让员工意识到机密信息保护的重要性。

2.1 每季定期进行查核活动，以确保公司的机密信息保护措施的落实。
2.2 透过日常工作与各种场合，宣导机密资讯的观念与遵守事宜。 
2.3 落实员工的教育训练，提高员工资安意识与能力。除了将机密信息管制相关内容，列为新进人员的必训课程外，每年所有员工均必须进行二次资安教育，以期能不断强化与提升员工资安意识。

2.4针对PIP违规事件，订定管理办法，建立相关举报制度、调查与惩处权责。并已经依据违规事由及影响程度进行相关惩处与必要校正措施，并持续倡导及教育训练。历年PIP违规事件如下表所列。Y2023员工因未遵守机密信息保护程序的总违规事件占员工比率为0.122%。

四、资安风险管理架构因应对策

1. 强化资安防御能力及成熟度评鉴：

定期进行资安系统测试并加以补强，持续进行营运持续应变演练。建立网路安全事件应变计画，采取对应的通报及复原行动。同时透过第三方验证(Security Scorecard)之客观结果与威胁情资，进行风险分析，资安管理体制进阶强化。

2022年起，外部弱点扫描频率从每周一次增加到目前每天一次，一旦发现高风险漏洞都能在第一时间完成修补，执行成效如下图。

为了进一步强化防骇能力，2022年并雇用国内知名白帽黑客团队进行红队演练模拟攻防，除了主动了解黑客思维强化员工防骇意识外，并以此经验持续改善内网自动化联防系统。

2. 精进资安管理程序 :

创意电子已于2021年度符合信息安全相关的ISO 27001国际标准并取得验证，透过年度的复审作业不断地进行持续改善，并已通过 2023 年度的 ISO 27001 复审作业，同时因应国际标准化组织（ISO）已于2022年10月25日正式公布ISO/IEC 27001:2022标准，创意亦准备ISMS转版事宜，预计于2024.10完成新版验证作业。

3. 风险管理

透过每年的风险评鉴作业，从各项可能的威胁与弱点组合中，分析出主要的项目包括：
3.1 诈骗集团利用伪冒的电子邮件，诱骗企业员工汇款或交易。
3.2 商业间谍或竞争对手运用骇客技术，持续渗透内部主机，窃取企业内部资料。
3.3 犯罪集团结合骇客，透过电子邮件、简讯、社群软体、通讯软体，散布具有恶意连结的内容，使受害电脑资料被加密绑架，要求付出高额赎金。
3.4 骇客透过网路发动大规模数量的连线要求，阻断公司正常网路的运作。
3.5 内部员工使用非法软体或将公司机敏资料复制到随身储存装置，因遗失、遭窃或贩卖，致使资料外泄。
3.6 天灾人祸造成资讯软硬体或受到损害，导致服务中断或资料遗失。
3.7 每年进行资安风险之评估，并寻求适当的资安保险转嫁风险。经评估后，整体资安风险的可能损失仍低，尚属自保之范围，每年评估结果亦报告董事会。

3.8 目前虽暂未投保资安险；在无投保资安险的情况下，针对以上的风险项目，运用资安管理准则、导入科技解决方案与强化资安教育训练，多管齐下做好资讯安全的管理机制，包括以下重点措施：

3.8.1 定期执行内外部稽核，2021年Q4通过ISO 27001:2013验证，并已通过2023年度的ISO 27001复审作业，持续精进资安管理体系运作。
3.8.2 每年进行二次社交工程攻击仿真演练，针对未通过或是连续二次未通过的同仁，必须再上强化资安教育训练，提升员工对于邮件防护意识。

3.8.3 用户端安装防毒与EDR(Endpoint Detection and Response)端点防护系统，提供实时异常检测和警报，取证分析和端点修复功能。同时封锁USB储存装置的连接与自行安装软体的权限。另提供备份档案服务器备份重要资料。
3.8.4 针对网路层，结合防火墙，针对网路的流量与应用进行管制。发展内网防护与资料库存取安全监控管理机制。
3.8.5 透过机敏文件管控系统DRM（Digital Right Management；数位版权管理）与磁碟加密技术，保护文件机密性。
3.8.6 运用邮件过滤及邮件稽核系统及Anti-APT，降低电子邮件使用的风险。
3.8.7 导入指纹辨识系统与刷卡系统于闸门管理，达到双因子认证实体安全需求。
3.8.8 主机集中管理，建立机房环控与告警机制，定期执行资料备份，并每年执行灾难备援演练。

3.8.9所有远程访问，强制使用多重要素验证（Multi-factor authentication）机制，降低密码被盗与撞库攻击的风险，并进行全程录像，有效记录使用行为与建立稽核轨迹。

3.9 每年进行二次重要的信息系统的灾难复原演练，以确保当系统异常发生时，在关键时刻能及时应变，降低系统downtime与减少对公司的营运影响。

3.10 在Y2022进行红队演练(Red Team Assessment)，在不影响公司的营运下进行模拟入侵攻击，用以验证资安防守的侦测与反应能力，掌握潜在风险状况。并针对发现的8个资安漏洞，立即进行相关改善与防护措施，均已经完成改善。

3.11每周召集各信息系统负责人，针对当周的资安事件进行讨论，并采取必要的防护措施。

 4. 教育训练

信息安全部每季亦针对全体同仁进行资安倡导教育训练，其倡导主题依据时下内外部威胁状况进行规划，2023年度各季度之主题如下：

五、资讯安全所投入之资源

持续投入资源于信息安全相关领域，包含完善治理面及技术面之基础架构、强化资安防御设备、情资监控分析、事件应变演练与教育训练等，全面提升信息安全能力。

六、资讯安全事件

对信息安全事件的通报与处理，明确订立资安通报及处理流程，资安事件由信息单位通报窗口进行收录并订定事件等级，如为重大资安事件将通报风险管理小组，信息单位需于目标处理时间内排除及解决信息安全事件，并在事件处理完毕后进行根因分析与采取矫正措施，以预防事件重复发生。

2023 年度迄今本公司无因重大资通安全事件所遭受之损失。