信息安全管理政策
本公司将资讯安全视为公司治理与永续经营之重要一环,于 2021年7 月设立资讯安全管理委员会,由总经理担任主任委员,统筹资讯安全政策、管理制度与治理运作。本公司建置资讯安全管理体系,由高阶管理阶层督导执行,并至少每年进行一次管理审查,检视管理体系之适切性、充分性与有效性,作为持续改善资讯安全治理、强化风险控管及提升营运韧性之依据。
本公司于 2022 年 7 月经董事会通过修订《电脑资讯处理循环》,明确设置资讯安全专员及资讯安全主管职务,负责统筹资讯安全政策之推动、管理机制之执行及相关资源之协调配置,以强化公司资讯安全治理与风险控管。
为保障联德之产品与服务在开发、生产与交付过程中的信息安全,防范未经授权之存取、变更、滥用或揭露,并降低因自然灾害或资安事件导 致之营运中断风险,本公司致力于建立与维护信息安全管理制度,确保 关键信息资产之机密性、完整性与可用性。相关管理措施皆遵循适用法 令与客户要求,并结合国际标准如 ISO/IEC 27001 进行持续精进,以强 化外部信任、实践对客户与股东的承诺,确保公司核心业务得以稳定、安全且持续运作。2024 年未发生重大之资安事件,也未有接获侵犯客户隐私或遗失客户资料的投诉。
我们重视信息安全与客户数据保护,依据 ISO/IEC 27001 国际标准建置 信息安全管理系统(ISMS)并取得验证。为确保制度有效运作,公司每年至少办理一次内部自我稽核及一次由公正第三方执行之外部稽核,并每三年进行一次证书重新验证作业,以持续维持 ISO 27001 认证之有效性。
(1) 维持各信息系统永续运作
(2) 防止黑客、各种病毒入侵及破坏
(3) 防止人为意图不当及不法使用
(4) 防止机敏数据外泄
(5) 避免人为疏失意外
(6) 维护实体环境安全
信息安全管理框架
信息安全管理委员会组织结构
(版本:V3.0)
资安事件与因应
| 发生日期 | 信息安全事件说明 | 影响等级 | 破坏程度 | 决议日期 |
|---|---|---|---|---|
| 2025.10.17 | 台电进行维护停电作业,计划性停止机房内部网络及主机服务 | 1 | 无 | 2025.10.19 |
| 2025.10.25 | 台电进行维护停电作业,计划性停止机房内部网络及主机服务 | 1 | 无 | 2025.10.26 |
资安教育成果
为提升全体员工资安意识并建构预防文化,本公司持续推动多元资安教育训练及实战演练,并将训练纪录纳入公 司稽核及永续报告揭露范畴。
全员年度训练(2025年) : 涵盖信息安全倡导及通识软件教育训练
灾害复原/应变模拟演练:
包含多场内部演练,重点涵盖业务所需之数据及设备应变,强化员工辨识与防护能力。
弱点扫描:
包含对外暴露地址弱点评估,重点包含关键节点之防护及风险降低之参考依据。
新进员工:
须完成签署聘雇暨保密契约书,并参考「上市上柜公司资通安全管控指引」建议,参与内部信息安全教育训练。
高阶主管及董事会成员:
每年至少参与一次资安与法规倡导课程。
2025年度信息安全执行成果报告已于2025年12月18日于董事会报告,相关附件如下: