18. Day18：2022年版華新科技永續報告書
    https://www.passivecomponent.com/zh-hant/csr/csr-reports/

P21
衝擊及涉入程度
上游 公司 下游 政策及承諾
間接 直接 直接 嚴格控管公司的營業祕密以及未經公開揭露的機密資訊，確保客戶、公司、股東、供應商與員工的最佳利益

管理方針及其要素
責任 永續目標 行動方案 資源

1. 符合相關法律及法規。
2. 持續管控並確實執行 無侵犯、洩漏、失竊、遺失客戶資料或遭投訴。 1.成立了資訊安全執行小組列出了六大管理措施，持續為公司的資訊安全把關。
   2.建立了適當的網路架構來預防電腦病毒在廠區之間擴散
   3.每年定期執行電腦弱點掃描及軟體更新
   4.加強員工資安教育訓練 資訊安全委員會、資訊安全執行小組

管理方針之評估
申訴機制 評估機制 2022 評估結果 管理方針 之調整
官網「聯絡窗口」 六大管理措施：
設備管理、系統管理、通訊管理、資訊管理、人員管理、文件管理 無發生侵犯、洩漏、失竊、遺失客戶資料或遭投訴事件。 持續維持無違規事件。

P24
重大主題 對應章節 衝擊點
客戶隱私 3-9 資訊安全及隱私保護 經濟面：洩漏、失竊、遺失客戶或供應商資料將嚴重影響客戶的信任，進而導致流失率提升，故華新科技明定資訊安全策略及規範，並成立資安小組持續評估資安的有效性及適當性，將資安風險降到最低。
P36
風險管理
風險項目 權責部門 風險業務事項
個人資料
管理風險 資料安全與個人資料保護執行小組 個資隱私風險之評估及管理，個資管理制度適法性與合宜性之檢視、審議及評估，個資安全事件之應變、處理及通報，個資保護管理之規劃及執行。

P41
資訊安全及隱私保護
資訊安全是企業競爭的基礎核心能力之一，華新科技對於公司營業機密的資訊予以充分的保護，也充分了解企業對於客戶、股東與員工的承諾與責任，因此，明定資訊安全策略與管理規範，嚴格控管公司的營業祕密以及未經公開揭露的機密資訊，確保客戶、公司、股東、供應商與員工的最佳利益。
華新科技成立了資訊安全委員會，由資訊長擔任召集人，分別由人力資源、風險控制、稽核、法務、資材、研究發展等單位的最高階主管擔任委員會成員，定期召開會議審核當年度的資訊安全政策與內外部重大議題，建立有效的資訊安全管理機制，持續保護華新科技的資訊安全。
華新科技也成立了資訊安全執行小組，列出了六大管理措施，持續為公司的資訊安全把關。同時也建立了資訊安全管理系統，111年度於11/30日取得ISO27001重審換證的資訊安全認證，所有的作業程序皆符合國際認可的資訊安全管理制度。
面對各種病毒的威脅以及網路攻擊事件，資訊安全執行小組持續建立防堵機制以及監控程式來預防外部的攻擊，也建立了適當的網路架構來預防電腦病毒在廠區之間擴散；資安小組每年也會定期執行電腦弱點掃描及軟體更新，以防堵資安漏洞；為了防止員工的個人電腦產生資安的漏洞，資安小組持續加強垃圾郵件的過濾與員工的資安教育訓練；每年也會定期舉辦災難復原演練，確保重大資安事件發生時能迅速復原。資安小組透過持續評估資訊安全的有效性及適當性，致力於將資安的風險降到最低。

2022年 資安執行成效（如圖 18 1所示） :
 4個廠區通過ISO27001的重審換證
 導入關鍵人才的虛擬桌面專案、行動裝置管理專案、遠端桌面設定標準化、弱點防堵專案、與端點防護升級等5個資安專案
 13份資安規範與16份資安表格修訂完成
 573位間接人員完成資訊安全的線上教育訓練課程
 119人完成6個資安專業教育訓練課程
 加入2個資安聯防組織

圖 18 1 華新科技資訊安全架構圖

侵犯客戶隱私 監管機關投訴 資訊洩露、失竊或遺失客戶資料事件
2022年 無發生 2022年無發生 2022年無發生
對客戶資料妥善保護，至今未有資料外流情況。公司有專用文件室保管客戶資料，文件櫃上鎖、系統有密碼保護，無外流情況發生。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。