資訊安全

經濟
元晶太陽能科技股份有限公司(以下簡稱本公司)於112年成立「資訊安全部」,以有效推動與辦理本公司內部資訊安全與個人資料保護管理事項,包括審核資訊安全政策與個人資料檔案安全維護計畫、分配資訊安全與資料保護之責任及協調本公司各項資訊安全措施之實施,以利資訊安全暨個人資料保護管理制度能持續穩健運作。

本公司為強化資訊安全管理,確保資料、資訊之可用性及可靠性,與維護資訊安全,特定此政策規範。
恪遵法令訂定相關資訊安全管理規章,對本公司資訊資產提供適當的保護措施,以確保其機密性、完整性、可用性及法律遵循性。
定期評估各種人為及天然災害對本公司資訊資產之影響,並訂定重要資訊資產及關鍵性業務之防災對策及災變復原計畫,以確保本公司業務持續運作。
督導本公司同仁落實資訊安全防護工作,建立「資訊安全,人人有責」觀念,提升個業務部門及人員對資訊安全的認知。
要求本公司全體同仁以及使用或連結本公司電腦系統之往來廠商,應確實遵守本公司資訊安全相關規定,如有違反者,視其違反情形分別依本公司規定懲處或依契約罰則辦理外,情節嚴重者,另將受相關法律之訴追。
資訊安全風險管理架構為本公司有關資訊安全權責與教育訓練、電腦系統安全管理、網路安全管理、資訊設備環境安全管理、系統存取安全管理之準則。

推動資訊安全管理制度相關規範時,須全面廣泛地了解本公司全景及利害關係者之需要與期望,以順利界定資通安全方針。

依據本公司最高管理階層對組織營運宗旨與目標之看法與共識,鑑別本公司使命、核心價值(價值觀)、願景及營運目標,針對核心業務流程及重要工作項目所鑑別出利害關係者的每一項需要與目標,進行分析「當未符合利害關係者的需要與目標」時,可能造成的衝擊情境與等級,以決定是否採取適當之因應對策或接受風險,妥善分析處置每一項所鑑別之需要與目標,進行風險管理。

公司同仁若發現或疑似資訊安全事件時,應立即依如下【資安事件通報流程】通報事件。
若判定為資訊安全事件時,則需通報【資訊安全長】,立即召開資訊安全管理會議討論解決方案, 並於結案後呈報及通知處理結果。詳細記錄事件發生事實、處理經過、癥結原因、採取應變措施、 再發防止措施等事項。
對於違反資訊安全政策的同仁,依情節輕重予以處分。

考量資安險為新興保險,鑑識機制與評估範疇廣大,保費計算基礎是根據承保企業產業類別、承保範圍、規模大小和企業對資安控管程度等項目去評估,故基於以上原因,理應先強化企業自身資安防禦能力,屆時承保資安險才有相對合理之價格與保障,故暫不考慮投保資安險。

資訊安全是無時無刻都在面臨挑戰,目前採取以下策略因應:
加入CERT等資安組織,不定期參加研討會與外界交流並出席組織聚會,透過彼此交換訊息以達區域 聯防的效果,除取得最新攻擊情資外,也藉此採取適當防御對策。
持續關注內外部資安環境變化趨勢,對內宣導及公告,教育同仁要有資安意識。
透過現行防禦或端點偵測及回應等系統,逐步強化防護與預知可疑行為,並於每年持續增加資安預算, 降低不幸發生資安事件時所產生之危害。

每年執行備份還原測試,能迅速對資安事件排除威脅、降低影響範圍,並能確保復原有效性。

元晶太陽能科技依個人資料保護法之規定,於人員新進到職當天進行個資蒐集告知,並由員工本人 親自簽署個人資料蒐集處理及利用告知事項,以此做為個資蒐集依據。
元晶太陽能科技就個人資料之蒐集、處理、或利用尊重當事人之權利,秉持誠實及信用方法為之, 不逾越特定目的之必要範圍,並採行適當安全措施,防止資料被竊取、竄改、毀損、洩漏等, 例:檔案室上鎖、系統權限管理、人資作業經辦權限管理。
元晶太陽能科技明確規範公司員工資料管理及維護個人資料隱私權,包含管理原則、資料點收、歸檔、 及調閱、保存、銷毀等。
元晶太陽能科技於工作規則規範員工應保守業務或職務上之機密,包括個人資料及薪酬,倘因職務 之關係知悉他人之個資薪酬者,亦應保密。

社交工程演練一次。
備份與還原測試1次。
汰換升級高風險設備及系統。
認證、授權支出及設備投入共計約930萬元。
不定期資訊安全宣導,加強員工對於資訊安全風險之應變與警覺性。
資訊安全治理執行情形已於2024年12月26日董事會報告在案。
最近年因重大資訊安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實:本公司113年度未發生重大資訊安全事件,但仍秉持著防範未然之心態持續編列適當的預算強化資訊技術安全,以降低公司被惡意軟體攻擊的風險。