资讯安全与隐私的控管已然成为日常业务执行中不可或缺的一部份，富采集团母公司 已设置资安管理专责部门，负责集团之资讯安全维运、资讯安全架构、资讯安全政策及 其他有关资讯安全之专案及查核作业，带领各子公司共同实现富采资讯安全之目标。 本集团设立资安管理办法，以确保核心资讯系统（ERP/MES/CIM）服务与重要资讯 基础设施正常且安全稳定的运作，规范资讯中心之资讯安全管理制度最高指导方针， 提供安全、可信赖之资讯服务，确保资讯中心资讯资产之机密性、完整性、可用性及 符合相关法规之要求，维持业务持续运作，降低资讯作业风险，保障资讯服务使用者 之权益。 富采集团资安政策，请参阅富采官网本集团之资讯安全政策

 

欲确保与资安相关之各项执行策略、目标与绩效，本集团特别成立「资讯安全委员 会」，第一层为董事会，负责裁决资安重大议案；第二层为企业永续暨风险管理委员 会 ( 主席为集团董事长 )，负责决定集团资安方向与目标，第三层为资安委员会 ( 主席 为资安长 )，负责推动集团目标与重点方案。第四层为各家公司的资安部门，负责执 行各项目标与专案。每年两次定期召开资安管审会议，向各家总经理报告资安执行状 况及决议事项。

为确保资讯安全、达成客户期待之品质并同时保护隐私，本集团依循国际 ISO 27001 标准的要求，订定公司资讯保护管理流程。富采集团台湾全厂区于 2024 年取得第三方 ISO 27001 资安认证，达到符合国际标准的资安管理作业程序，希望藉由通过国际验 证，降低企业资安威胁，建立最高规格的机密资讯保护服务，以保护客户的智慧财产 权、製程参数等机密资料。

为降低风险发生机率，并减少其影响冲击，本集团积极导入管理系统作为风险因应 对策 :

• 每年通过由外部第三方独立单位执行的 ISO 27001 资安管理稽核验证。
• 每半年进行一次风险评鑑。
• 每半年进行一次内部稽核。
• 每日监控是否有网路攻击造成重大资通安全事件发生。
• 每年不定期进行 4 次社交工程钓鱼邮件演练。
• 每年依照业务流程冲击分析表，进行营运持续管理计画演练。
• 确保每週第三方评分系统 Security Scorecard 得分 在 A 级 90 分以上，并每日监 控 Security Scorecard 是否有新增弱点项目需进行修补作业。
• 定期对各部门系统使用的应用程式和第三方套件进行弱点监控和查找，并将严重 和高风险项目转交有关部门处理；参考通用弱点评分系统 (CVSS 3.0) 的基本分数 指标，分配弱点严重程度等级，协助各部门执行安全弱点测试和修补，并稽核修 补现况。
• 拟定并执行弱点扫描计画

 

 

本集团制定资安事故应变机制，以准备、防护、侦测、遏止、根除、復原、检讨七大 阶段进行管理。在准备层面，全面导入端点侦测及回应 (Endpoint detection and response, EDR) 工具，以及第三方监控机制，即时侦测应变。除了日常备份工作亦 保存离线备份，每年依应变计画执行事故应变演练。在防护层面，透过弱点扫描以 及第三方风险监控平台，掌握漏洞风险状态，每週会议进行修补进度汇报，管理者针 对备份进行还原测试。侦测到事故时，进行事故分级的判断及通报，首要目标进行遏 止，进行断网等隔离措施，以降低事故所带来冲击，并蒐集与妥善保存数位证据，以 利根因调查后根除威胁再。