資通安全

資通安全攸關企業的營業秘密能否完善保護，鑽石投資由資通安全組制定資通安全政策暨執行計畫，並推動落實與檢討改善；另外由稽核室成立內部稽核小組負責稽核，每年定期執行至少一次抽核資通安全檢查之控制情形，追蹤改善計畫執行成效。
 

資通安全風險管理架構
 

鑽石投資成立資通安全管理小組，由資通安全管理代表擔任召集人，資通安全管理小組下設資通安全組及內部稽核組， 共同制定資通安全政策暨執行計畫並於資通安全政策訂定「強化安全防護，維護資訊安全」的政策聲明。

資通安全組每季向資通安全管理代表報告公司資安管理現況，每年檢討資安政策。 另外由內部稽核組負責稽核，每年定期執行抽核資安政策執行情況，並追蹤缺失改善計畫執行成效。

資通安全管理小組每年向永續發展暨提名委員會及董事會報告資通安全管理相關執行狀況。

2024年資通安全組設有2人，內部稽核組設有1人，期間召開1次資通安全會議， 年內並未發生重大資通安全違規事件。
 

資通安全目標

為維護資訊資產之機密性、完整性與可用性，本公司期藉由資通安全政策之實施以達成下列目標：

1. 建立安全及可信賴之資訊化作業環境，確保本公司資料、系統、設備及網路之安全，以保障本公司業務永續運作。
2. 保護業務服務之安全，確保資訊需經授權人員才可存取資訊，以確保其機密性。
3. 保護業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。
4. 建立業務永續運作計畫，以確保資訊業務服務之持續運作。
5. 確保各項業務服務之執行須符合政府相關法令（如：資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）規範之要求。
6. 為保護本公司業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
7. 提升對資訊資產之保護與管理能力，降低營運風險。
    

資通安全具體管理措施

為維護資訊資產之機密性、完整性與可用性，本公司期藉由資通安全政策之實施以達成下列目標：

1. 制定管理辦法
   為健全資通安全管理制度，於2024年3月份開始導入ISO 27001認證，並於2024年9月取得認證，認證期間自2024年9月10日至2027年9月9日止。藉由國際資安管理標準落實相關管理制度，以提升同仁資通安全意識，建立正確的電腦網路使用準則。已分別制定資通政策及相關管理程序書如下：資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等相關程序書及說明書。
    
2. 資訊技術
   本公司在資訊安全防護上，加強軟體與硬體方面多層次防護，其中包含：帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理/惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理及EDR(端點偵測與回應)等防護措施。2024年EDR部署範圍約為100%，未來將持續投入資源以保持EDR部署範圍達100%。
    
3. 推廣與改善
   為提升同仁資通安全觀念與強化自我保護意識，每年至少辦理1次資通安全管理審查會，針對年內相關資安制度與事件進行監督與管制，另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次。2024年共計3場次全體員工資通安全宣導，包含個資及智慧型手機資安防護、個人資料防護實務以及物聯網安全與近期資安案例解析等課程。此外，2023年共計執行3次電子郵件社交工程演練，成功通過釣魚測試為100%，未來將增加釣魚郵件的寄送樣態，若遭釣魚成功者，需再次接受資訊教育訓練，以提升公司人員資安意識。
    
4. 加入資通安全組織
   已於2022年9月加入TWCERT/CC資安聯盟，不定期透過上述平台進行網駭情資交換，期藉由聯防機制，網駭情資共享，擴大公司資安防禦廣度，及強化資安韌性。

2024 年資通安全教育訓練統計

資通安全管理成效表