資訊安全作為

資訊安全組織

在當前數位化的浪潮下，網路、IT 系統和數據安全的重要性日漸攀升，主管機關和利害關係人對公司資訊安全的要求和期待也與日俱增，若是公司系統品質低下，發生資料外漏事件或遭遇服務中斷事件會導致高昂的成本並造成公司的聲譽受損。有鑑於此，立積電子成立跨部門資訊安全管理小組，由總經理為小組召集人，資訊部門與行政管理部門負責主導及規劃，各業務相關單位配合執行；資訊安全管理小組定期召開會議檢討公司資安系統運作的執行情形，並規範每年至少 1 次向董事會報告公司資訊安全事務的執行情形，以取得來自公司最高層級的建議與指導，藉此確保公司資訊安全管理運作之有效性。資安小組於 2024 年 12 月 26 日向董事會報告公司的資安事務運作狀況，並獲得董事會的指導與確認。

資訊安全政策

為確保本公司提供的資訊服務可穩定使用，並有效保障員工、供應商及客戶相關資訊資產之機密性、完整性與可用性，立積電子訂有經董事會通過之「資訊安全風險管理政策與程序」，規範公司在資訊資產盤點、資訊安全宣導、公司資料保密、資訊設備維護與備援、個人電腦安全系統維護、資訊安全事件通報之作為，保障公司資訊業務的永續運作。

本公司透過資訊安全管理程序文件，確保各項系統電子資料安全性與正確性，並達到使公司營運業務持續正常運作之政策目標。本政策涵蓋公司所有的系統資料及資訊設備，並明文規範公司的資訊安全控管作業（包含權限控管、檔案管理和防毒措施）、資料處理作業、資訊設備管理與維護作業、表單填寫作業及表單保存期限，以此確保公司系統能夠有效的進行分級管控、重要資料能夠受到妥善的保管和檢閱審核、資訊系統能夠有充分的保護和備援；此外，公司亦定期建置資料備份系統進行災難復原演練，配合資安系統建構有效資訊安全防護環境，確保企業持續營運。2024 年本公司投入資通安全管理之資源，共執行 2 次資訊系統安全更新、11 次應用系統安全更新、3 次郵件主機系統安全更新、2 次防火牆升級，透過多層次的系統更新升級與系統健檢及資安健檢，確保公司的資訊系統安全無虞。

2024 年資安管理規劃

1. 每年安排外部資安廠商針對公司進行一次資安健檢及演練，包含電子郵件社交工程演練、弱點偵測。
2. 每年安排一次資料還原演練，針對重要的備份資料進行還原驗證，確保還原的資料正確無誤。
3. 每年應安排至少一次系統安全更新，針對重大系統漏洞進行修補（patch）更新。
4. 應建立資安通報機制，資安小組持續進行全面性的資安管理。

資訊安全教育訓練

2024 年資安教育訓練規劃

1. 辦理 2 次資訊安全教育訓練，每次最少一小時（包含資安意識、社交工程 ）。
2. 不定期對內發布相關資安通報，並提供特殊的資安事件分析報告。

為建立同仁的資訊安全觀念，使每一位員工都成為公司資訊安全保護網的一環，立積電子對新進員工進行資訊安全教育訓練，並不定期透過電子郵件進行資安宣導。資安新人教育訓練涵蓋公司資訊系統、文件管理系統、電子表單操作、電腦及網路使用規範、USB 使用注意事項等議題，由公司資安主管引導說明，確保員工有效依循資訊安全制度與規範。

公司亦持續觀察當前社會的資訊安全現況，針對高度風險議題製作資訊安全宣導，並透過內部公告系統公告，議題包含帳戶安全管理及釣魚詐騙信件等，以提高資安意識 和 email 使用警覺，並定期更換系統登入密碼。2024 年我們於 5 月及 11 月各舉行一次資安教育訓練，分享國內外資安事件及其造成的損失，提醒常見的資安風險、駭客攻擊手法、社交工程及密碼管理注意事項，各有 293 及 294 人參與，累計參與時數共 587 小時。課程錄影留存於公司文件管理系統，方便同仁隨時線上學習與複習。

客戶隱私

立積電子重視與客戶之間的信任關係，致力確保所有商業交易過程中涉及的資料保持安全與保密。雖然我們的業務不涉及收集終端客戶個人資料，但仍對於商業交易過程可能接觸的任何個人資料與商業機密進行保密。我們承諾在合作過程中，依照業界標準對所有隱私與資料進行適當保護，且所有業務資料僅用於達成雙方協議的目的。為確保資料不外洩，我們採取嚴格的保密措施，並設有專責單位負責處理相關事宜。至 2024 年為止，立積電子未接獲任何與資料保護或保密相關的投訴。