guc h1

創意電子以打造嚴密有效的資安防禦網為資訊安全願景，以資安治理一致性為基礎，逐步提升全方位防護能力，期望成為於資安治理成熟度表現傑出之企業。資訊安全部統籌資訊安全制度及合規遵循，並推動相關作業的落實，持續提升資安意識與專業能力。透過技術的運用，識別資安風險與弱點，並進行有效的強化，建構完善的治理制度與全方位的資安防護能力，同時培養同仁良好的資訊安全意識。

1. 建立符合法規與客戶需求之資訊安全管理規範

2. 透過全員認知，達成資安防護，全面落實的共識

3. 保護公司與客戶資訊的機密性、完整性、可用性與法律遵循性

「資訊安全委員會」負責執行資訊作業安全管理規劃，建置與維護資訊安全管理體系，由資訊安全主管督導全公司資訊安全作業執行以及資安風險管理機制之有效性，向總經理報告，每季必須向高階主管管理會議與每年向董事會呈報整體資訊安全管理組織相關資安管理作業及制度之執行成效，讓高階主管與董事會成員充分了解公司資安管理現況，並落實管理階層對資安相關policy的要求，為資訊安全最高負責主管。每年至少召開一次「資安代表會議」，與會者包括相關資訊系統負責人與外部資安顧問，與會人數超過13位，負責審查資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。

2024 年度 Security Scorecard 預期目標為95 分以上，從 2024 年 1 月起，分數維持在98分以上。

Panorays預期目標為90 分以上，從 2024 年 1 月起，分數維持在97分以上。  

2022年起，外部弱點掃描頻率從每週一次增加到目前每天一次，一旦發現高風險漏洞都能在第一時間完成修補，執行成效如下圖。

為了進一步強化防駭能力，2022年並雇用國內知名白帽駭客團隊進行紅隊演練模擬攻防，2024年進行滲透測試，除了主動了解駭客思維強化員工防駭意識外，並以此經驗持續改善內網自動化聯防系統。

創意電子已於 2021 年度符合資訊安全相關的 ISO 27001 國際標準並取得驗證，透過年度的複審作業不斷地進行持續改善。因應國際標準組織（ISO）已於 2022 年 10 月 25 日正式公布 ISO / IEC 27001:2022 標準，已於 2024 年 10 月通過驗證公司的書審與與實地稽核作業，完成轉版審查暨重新驗證稽核，且沒有不符合項(Nonconformities) 。

資訊技術處每季亦針對全體同仁進行資安宣導教育訓練，其宣導主題依據時下內外部威脅狀況進行規劃，2024年度各季度之主題如下：

持續投入資源於資訊安全相關領域，資源投入事項包含完善治理面及技術面之基礎架構、強化資安防禦設備、情資監控分析、紅隊演練、資安事件應變演練與教育訓練等，全面提升資訊安全能力。

對資訊安全事件的通報與處理，明確訂立資安通報及處理流程，資安事件由資訊單位通報窗口進行收錄並訂定事件等級，如為重大資安事件將通報風險管理小組，資訊單位需於目標處理時間內排除及解決資訊安全事件，並在事件處理完畢後進行根因分析與採取矯正措施，以預防事件重複發生。