10. Day10：2022年版聯強國際永續報告書
    https://www.synnex-grp.com/tw/esg-report
    P20
    資安及智財保護委員會
    P21
    客戶個資為營運環節中重要的保密項目，聯強透過縝密的教育訓練，搭配系統機制持續升級，把關客戶資訊安全。聯強於2016 年起導入 ISO27001:2013 資安管理系統並遵循架構進行管理，並取得其證書並持續維持證書有效性。
    政策 聯強內部營運系統與開放外部人士使用之系統皆以嚴密權限管理機制進行管控，限縮內部人員或外部客戶資訊查詢與閱覽範圍。
    目標 對客戶端之運作以數位設備與機制取代紙本。最終端配送或到府服務之外勤人員使用之資訊僅包含配送或安裝需求，其餘個資皆
    由內部營運系統管理，並且定期隱碼封存。
    權責單位
    與資源 權責單位：營運品質管理室、商務品質管理室；資源：風險品質管理室
    行動
    計劃 【教育訓練 】
    1.新人訓練增列 2 項：資訊與客服部門個資法教育訓練（第 1 週 )；資訊安全概念應用 開發流程（滿 2 個月）
    2.資安小組定期培訓：由各品管室主管代表組成的資安小組，委由資誠顧問主講及課後評量（每年定期進行）
    【系統機制 】
    1.客戶個資保護升級：權限管控機制，確保隱私資訊遮蔽
    2.資訊遮蔽機制強化：以數位化資訊取代傳統紙本運作，降低客戶隱私外洩風險
    管理方針
    評估機制 1.設置申訴機制、系統認證 ISO27001:2013 、內部稽核人員認證及證交所公司治理評鑑，確保客戶個資受到嚴謹保障。對消費者之個資保護將定期審視是否有提升改善空間。總部將不定期檢視以確保整體運作流程符合個資保護之規範。
    2.維修中心以及授權的第三方服務廠商皆必須遵循當地對個資保護法的相關法令，維修機器時不得碰觸客戶資訊做不當儲存。
    P28
    為持續提升董事在永續經營及公司治理上整體知識本公司董事依照公司治理相關法令規定完成進修。

主辦單位 課程名稱 進修時數 參與人數
中華民國電腦稽核協會 從國際風險、產業及標準發展趨勢提升企業資安治理能量 3 4
P35

風險項目 風險因素 2021年對公司之影響 因應措施
資訊安全 資訊安全風險係指可能影響整體企業組織之資產、流程、作業環境之威脅。本公司之業務運作高度依賴資訊系統的建置與發展，故資訊安全的管控相當重要，以避免企業產生資訊機密性、完整性或可獲得性之損失。 本公司通過資安相關稽核無重大缺失，亦無違反資訊安全、造成客戶資訊洩漏及罰款等重大資安事件發生。 1.已於2016年導入ISMS資訊安全管理系統，並定期取得ISO27001認證，目前證書有效期為2019年8月至2022年8月。
2.每月執行資訊環境軟硬體安全性與防毒更新，並透過APP推播加強同仁資安意識，宣導落實執行。
3.持續追蹤市場最新之資安訊息與威脅，即時評估影響範圍及制定因應措施，確保公司資訊環境與資安變化同步。
4.每年評估公司之風險事件，建立風險事件庫，掌握企業可能存在之風險事件與等級，並持續追蹤改善。
5.強化公司資訊環境之備援機制及落實BCP演練，確保天災⼈禍發生時，公司營運能持續不中斷。
P39
為強化本公司之資訊安全管理、確保資料、系統及網路安全，設立資訊安全管理委員會，由資訊中心主管擔任資訊安全小組之召集人，且每年至少一次向董事會報告，組織團隊包含資安維運組、緊急處理組與資安稽核組；資安維運組執行資訊安全系統建置，包含網路管理與系統管理；緊急處理組負責營運持續計劃規範及危機處理程序、執行危機應變措施與通報，並進行事後分析及防範之工作；資安稽核組配合公司稽核單位進行資訊安全稽核工作，包含內部稽核與外部稽核。

圖 10 1 聯強國際資安組織圖
資訊安全風險管理機制
執行資訊機房、電腦資訊檔案安全、網路安全、郵件安全管理、資訊系統控制存取等管理。
資訊安全政策
本公司資訊安全政策為「維護公司資訊之機密性、完整性、可用性與適法性，避免發生人為疏失、蓄意破壞與自然災害時，遭致資訊與資產不當使用、洩漏、竄改、毀損、消失等，影響本公司作業，並導致公司權益損害」。本公司已於 2016 年導入 ISO27001 資訊管理系統，並取得 ISO27001證書及維持證書連續有效性。透過 ISO27001 資訊安全管理系統之導入，強化資訊安全事件之應變處理能力，保護公司與客戶之資產安全。
資訊安全具體管理方案
項目 具體管理措施
防火牆防護 1. 防火牆設定連線規則。
2. 如有特殊連線需求需經權責主管核准始能開放。
使用者上網控管機制 1. 使用自動網站防護系統控管使用者上網行為。
2. 自動過濾使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站。
防毒軟體 使用防毒軟體，並自動更新病毒碼，降低病毒感染機會。
作業系統更新 作業系統自動更新，因故未更新者，由資訊中心協助更新。
郵件安全管控 1. 有自動郵件掃描威脅防護，在使用者接收郵件之前，事先防範不安全的附件檔案、釣魚郵件、垃圾郵件，
及擴大防止惡意連結的保護範圍。2. 個人電腦接收郵件後，防毒軟體也會掃描是否包含不安全的附件檔案。
資料備份機制 重要資訊系統資料庫皆設定每日備份。
重要檔案上傳伺服器 公司內各部門重要檔案存放於伺服器，由資訊中心統㇐備份保存。
網路傳輸防護 1. 連線通道加密
2. 資料內容加密及資料內容電子簽章驗證
資料保存防護 1. 動態資料遮罩: 僅能存取有權限的資料
2. 內容加密儲存: 機敏資料存入資料庫前，先行加密再做儲存，使用時須解密。
數位資訊安全強化．客戶隱私升級
為使客戶資料獲得完善的保護，本公司建置客戶資料管理制度從企業策略面著手定位組織管理與運作透過業務流程與資訊系統的分析檢視個人資料取得、處理、傳遞、儲存的存取控管並在經銷商網站上揭露客戶資料之隱私權聲明除承諾將保護客戶隱私外並清楚說明客戶資料的使用與安全規範等以保障顧客隱私權。2021年，本公司無侵犯客戶隱私或遭客戶投訴隱私遭侵犯之情事發生。
緊急通報程序
建立資安事件通報機制，當發生資訊安全事件時，通報資訊安全小組緊急處理組，判斷事件類型並找出問題點，即時處理並留下紀錄。

因安全事件所遭受之損失、可能影響及因應措施 : 無此情形

資訊安全事件 資訊洩漏的數量 個資佔資訊洩漏數量的百分比 因資訊洩漏受影響的客戶數
0 0 0 0

P46
APP行動 服務
持續積極發展APP 行動服務工具，聯強內部全面推行員工應用，依職務範疇特製專屬 APP 功能，加快對市場訊息與客戶需求的回應速度，提供客戶即時準確的服務。對外因應 MSP 服務業態的拓展，透由 APP 對平台成員 提供訂製化、智能化的分析管理資訊服務 ；當中以經銷商 APP 服務最具規模，目前已開發 11 項功能， 2021 年開通用戶數已達 4,005 家，透由行動工具可即時掌握商務運作上每個環節所需資訊，操作的便利性，亦增加經銷商對聯強的黏著度，服務功能可個別設定使用者權限，提升資安防護。我們以提供平台成員一個資訊通透及對稱的 MSP 為目標，建構一個公平可信賴的交易平台。

P59
2020 2021 2023
體察消費者維修家電時常超過千元的大金額需求，2020年第四季，到宅服務業務首先導入行動支付機制，提供線上刷卡付款。 採用資安保障之第三方金流平台SSL256bit加密技術,PCIDSS資安認證 提供資安認證與即時便利的支付方式

P101
維修保養與回收消費電子廢棄物
服務中心設有廢舊手機及廢電子產品與電池的回收箱，方便消費者回收，每季再委由專業廠商依法回收處置。服務中心標準回收流程，現場提醒消費者清除個人資料以保障個資安全。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。