資訊安全系統建置與管理
智易總部及越南製造中心均已通過ISO 27001 資訊安全管理系統及ISO 27005 資訊風險管理系統的國際驗證,展現智易對資訊安全管理制度化與國際標準接軌的承諾。為加強資料外流防範,智易推動資料外洩防護(Data Loss Prevention, DLP)機制,嚴格控管通訊軟體、外接儲存設備等高風險通道的使用,並加強行動裝置使用政策,全面提升企業資訊安全韌性與應變能力,確保客戶機密、個資與智慧財產權的安全。
ISO 27001 資訊安全管理政策
- 確保本公司相關業務資訊之機密性防止本公司敏感資訊及個人資料外洩與遺失。
- 確保本公司相關業務資訊之完整性與可用性以正確執行本公司作業與各項業務。
資訊安全經營管理架構
為強化企業資訊安全治理,智易設立「資訊安全經營管理委員會」,作為公司最高資安決策與管理單位,統籌推動資訊安全策略與資源配置。委員會由高階管理層主導,並指派資訊安全管理代表(專責人員)負責日常資安管理作業與執行落實。
資訊安全經營管理委員會下設三大專責小組,包括「文件編輯小組」、「風險管理與評鑑小組」及「內部稽核小組」,分別負責資訊安全文件制度建置與維護、風險評估與控制措施、以及內部稽核與改善追蹤,形塑全方位的資訊安全治理機制。資訊安全管理代表每半年定期向委員會報告資訊安全管理成效、當前議題與未來發展方向,確保整體資訊安全系統具備持續性的合規性、適切性與有效性。此外,智易每年召開「資訊安全管理審查會議」,綜整各營運據點、客戶及供應商所涉資安風險與對策,全面檢視稽核改善進度、資訊安全目標達成情形,並分析各項監控與量測指標,以強化資訊安全管理績效。
資訊安全管理機制
智易確保資訊資產的機密性、完整性與可用性,依循ISO/IEC 27001 國際資訊安全管理系統標準,建構內部控管機制與資訊安全文件系統,並持續強化風險應變能力。智易每年定期執行內、外部資安稽核,針對各流程資料庫進行風險評級與弱點掃描,並更新資訊資產清冊。為強化營運韌性,智易亦推動營運衝擊分析、災難復原演練、帳號權限審查、防火牆設定檢視、資安教育訓練、滲透測試、管審會議,以及不定期進行社交工程模擬演練等管控措施,確保資安防護機制持續精進。自2020 年起,智易持續投保資訊安全保險,進一步分散資安事件潛在財務風險。2024 年度投保金額達300 萬美元,展現智易對資安風險管理的高度重視與前瞻規劃。
資安宣導與教育訓練
預防第三方資訊非法存取或揭露
為全面保障公司與客戶資訊資產,防範未經授權的第三方存取或洩露資訊風險,智易建構層層防護的資訊安全控管機制,由核心帳號管理延伸至行動裝置與網路使用等面向,強化存取控制、減少未授權風險。各項管理措施如下:
資訊數據保存與管理
智易建立完善的資訊數據保存與日誌管理機制,以確保資訊存取行為具備完整紀錄與追溯能力。所有伺服器與資料庫系統皆啟用日誌記錄功能,並設定保存期限;系統日誌至少保留一年,防火牆與核心交換機之日誌則至少保存三個月。依據適用法律法規、合約義務及實務需求,相關紀錄亦可延長保存年限,以支援資訊安全事件的調查及稽核作業。
智易營運所有存取紀錄均受到嚴格控管,以防止未經授權之篡改、刪除或外洩。為降低閒置帳號遭濫用風險,智易要求所有關鍵系統啟用自動登出機制,並定期進行使用者權限檢查與審核。同時,透過內部與外部資安稽核機制,持續檢視資訊安全管理制度的落實與效能。
針對資訊資產管理,智易實施風險評鑑作業,依據資產敏感性與風險特性導入對應控管措施,並明訂第三方資料與數據的保存年限規範,有效降低資訊洩漏與資料遺失風險,提升整體營運韌性與資安防護水準。截至2024 年,智易全球營運據點皆未發生任何違反客戶隱私或其他重大資訊安全事件,展現智易對資訊安全與個人資料保護的高度承諾與持續精進。
處理、共享與保存機密資訊
智易高度重視資訊資產的保護與合理使用,持續透過制度化管理與教育宣導,確保所有機密資訊於處理、共享與保存過程中皆符合法規與利害關係人期待,並落實對資訊保密的企業責任。具體管理作法如下:
- 員工保密義務承諾:所有新進員工於入職時,須簽署並遵守智易制定的書面或非書面保密政策。針對在職期間所接觸之客戶、供應商及其他合作夥伴資訊,員工有責任維持保密義務,並確實履行在職權範圍內所適用的資訊安全責任。
- 資訊安全與資料防護管理:員工須妥善管理電子檔案、紙本文件與通訊紀錄,防止未經授權之存取、洩漏或濫用,並透過資訊安全政策、稽核制度與教育訓練,強化全員對公司及利害關係人資訊資產的保護意識與作為。
- 網站隱私政策揭露:智易於官方網站首頁下方明確揭示《隱私權政策》,並公告:「本網站使用cookies 以提升您的瀏覽體驗。使用本網站即表示您同意我們使用cookies。」,藉此取得訪客對個人資料處理之知情同意,符合法規要求與數位透明原則。
透過上述管理措施與利害關係人溝通機制,智易持續強化資訊安全治理,確保所有敏感資訊之處理、儲存與共享皆具合法性、正當性與保密性。
資料與隱私保護
為因應國際資料保護趨勢與營運地區相關法規,智易依循《歐盟一般資料保護規範》(General Data Protection Regulation, GDPR)及所在地隱私法規,制定隱私權政策,作為保護內外部利害關係人個資之最高指導原則。智易資訊安全部門負責監督個人資料之蒐集、處理與保存作業,確保所有流程皆遵
守法規與公司行為準則。
智易設有隱私權申訴與舉報管道,利害關係人如有發現資料濫用或隱私侵害事件,可透過相關管道(ethics@arcadyan.com)提出申訴。2024 年,智易未接獲任何來自外部或監管單位的隱私權申訴或裁罰紀錄,亦未發生任何侵犯或洩漏顧客隱私之情事,顯示公司在資料保護管理與內控機制上的有效執行,充分展現對顧客隱私保障的重視與承諾。