精誠為台灣資訊服務產業指標企業，重視利害關係人權益保障，透過持續強化資訊安全與個資隱私管理、並精進運作機制及推動作為，藉此化解內外部利害關係人可能面臨的資安風險與個資侵害課題。本公司循ISO 27001資訊安全管理系統等多項ISO標準，整合跨部門、跨功能資訊能量，成立推動資訊安全與個資保護管理的「資安暨個資危機處理小組」，並建立符合標準的資訊安全管理制度；由小組負責訂定集團資訊安全政策相關辦法與作業細則，包含「精誠集團資訊安全政策」、「精誠集團資訊安全管理辦法」及相關作業細則，並確實實施各項規定、執行資訊安全教育訓練，以落實相關管控與防禦作為。
在客戶權益方面，公司對於資訊服務的提供、建置、管理與維運等流程，依據產品與服務性質所衍生的作業方式與服務流程，逐一因地制宜的提供完善機制及申訴程序，如：金融相關產品設有客服中心，產品與系統維護設有線上服務支援中心，提供客戶高品質的支援服務。精誠提供的服務受「資安保密協定」規範，內部訂有「電子商務個人資料處理程序」控管，2022 年並未發生任何經證實違反客戶隱私之事件。
為確保資訊安全管理運作機制符合國際標準，精誠積極導入國際認證標準驗證。通過經過第三方獨立單位資安相關ISO 認證，包括精誠資訊：ISO 9001、ISO 27001 (DMIS(效期2022/1/1~2024/12/31)、Data CenterS(效期2021/5/3~2024/5/2))、ISO 22301、BS 10012；精誠軟體服務：ISO 27001(效期2020/8/25~2023/8/25)；奇唯科技：ISO 27001(效期2020/8/28~2023/8/27)；康和資訊系統：ISO 27001(效期2021/9/7~2024/9/7)；精誠科技整合：ISO 27001(效期2020/6/11~2023/6/11)；泰鋒電腦：ISO 27001(效期2021/1/6~2024/1/5)；台灣資服科技：ISO 27001(效期2020/7/2~2023/7/1)。我們持續強化資訊安全管理，確保資料、系統、設備、網路安全，並保障人員安全、法令遵循、客戶權益及個資保護等。陸續推出的資訊安全相關服務也持續導入ISO 27001驗證，完善整體資安服務能量。2022年新取得證照154張(含ISO27001、ISO27701、CISSP、CSSLP、CISM、EDRP、CEH、CFHI…等)，集團同仁累計取得符合資通法規範資安證照計501張。

面對資安風險，公司內部以資安暨個資危機處理小組負責資安風險，並由資安Taskforce委員會提供集團資安管理的顧問諮詢、技術服務和資安教育訓練。資安暨個資危機處理小組除了綜理集團的資訊安全管理外，也支援已導入ISO 27001事業單位的資安暨個資事件處理。導入ISO 27001的事業單位都已組成資訊安全管理委員會，建置資訊安全風險管理架構，訂定資訊安全政策及具體管理方案。

精誠定期召開會議檢視是否發生資安事件，評估該事件對公司造成之影響與風險，提出具體改善計畫並持續追蹤改善情形。精誠在機敏的資訊服務上，每半年執行一次風險評估及相關檢討。2022年延續往年的風險評估作業，並未發現高風險項目，針對中低風險項目則交由相關單位依決定的控制調整進行處理，並列入後續的追蹤及回報作業。

緊急應變事件職責

持續協助第一線進行數位鑑識，包含現場數位證據之保全、擷取驗證、檢查分析及鑑識分析等。

• 協助第一線單位於最短時間內完成數位證據之蒐證
• 調查評估個資侵害事件範圍及其嚴重程度
• 判斷是否邀集外部顧問、數位鑑識專家協助處理

資訊安全管理機制

資安事件

2022年發生之資安事件，絕大部分在用戶瀏覽下載期間，已被用戶端防毒系統阻隔，無真實落地攻擊；或是在縱深防禦的安控機制下受到保護，未達到內部啟動資安危機處理機制之條件，也未達到法定通報主管機關之等級。在2022年未發生任何經證實違反資料洩漏之事件。

資安技術與管控作為

客戶隱私權與個人資料保護

精誠由權責單位負責建立個資保護規範，包含個人資料蒐集、處理及利用等有關管理措施，每年進行個資安全事故應變演練，確保個資事件因應及處理能力。另每年進行一次個人資料保護管理審查，確保個人資料保護政策落實執行。精誠取得「BS 10012 : 2017個人資訊管理系統」(PIMS) 國際標準驗證，持續落實個人資訊管理制度並通過續審驗證。精誠提供的服務亦受「資安保密協定」規範，內部訂有「電子商務個人資料處理程序」控管，並設有客戶隱私投訴信箱，2022年並未收到與侵犯客戶隱私權有關的投訴。

為因應各公司行業別特性之差異，本集團各子公司皆設立個人資料保護法及資通安全管理法兩大體系之法規維護客戶權益，俾利各部門落實對客戶資料之保護，妥善保管客戶資料，在符合法令及授權範圍內合法蒐集、處理及利用客戶資料，並推行個人資料保護及資訊安全管理訓練課程，2022年度全集團個人資料保護宣導及測驗共計7,191人次通過，確保同仁充分了解個人資料處理及保護的重要性，以維護客戶的隱私權。

定期實施各項危機處理演練

為使發生緊急資安危機能迅速應對，資安暨個資危機處理小組設置五大面向演練，包括社交工程演練、資安演練、弱點掃描、測試機房防災演練、資訊系統復原演練，每年皆規劃1 ～ 2次演練，對象涵蓋集團台灣各子公司、測試機房、共用資訊系統等。2022年五大面向演練全數完成，並配合客戶執行供應商資安實地查核超過40場次、支援子公司ISO 27001驗證、精誠NOC ISO 27001內部稽核，及完成回覆客戶供應商稽核問卷逾400份。

【社交工程演練】為持續增進員工對郵件安全意識，每年實施兩次演練，2022年兩次社交工程演練測試結果符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定，惡意郵件點擊率結果均遠低於合格率(6%)，歷年演練已逐漸降減整體點擊惡意郵件情形，顯示資安意識的提升。

【測試機房防災演練】測試機房演練模擬機房火災發生情形，並做出相對應變，例如模擬疏散至避難集合地點、向單位主管及消防自衛編組指揮官回報災情等。此外，每週各機房使用單位代表皆會針對消防、溫度、監視器等面向，進行機房檢核，並填具檢核紀錄至測試機房管理網站，統計安檢異常類別及據點。

2022各項演練執行成效

資安升級計畫

2022年持續推動「集團資安升級計畫」，執行項目包括「強化資訊安全防護架構，導入入侵偵測與防禦系統、網站應用程式防火牆」、「因應憑證風險，全面完成憑證導入與更新」及「辦理安全性檢測作業，執行46個網站弱點掃瞄作業」，提高資安防護能力。

為強化同仁資訊安全意識，2022年持續實施資訊安全相關教育訓練。

• 全集團同仁資訊安全宣導及測驗，共培訓7,200人次。
• 全集團同仁個資保護宣導及測驗，共培訓7,191人次。
• 全集團同仁資安通識3小時線上課程，共培訓3,867人次、累計時數11,601小時。
• 專案同仁專業資安課程9小時線上課程，共培訓237人次、累計時數2,133小時。
• 資安種子專業訓練實體課程共26堂，共培訓872人次、累計時數9,278小時。