資通安全

資通安全攸關企業的營業秘密能否完善保護，鑽石投資由管理部資訊單位制定資通安全政策暨執行計畫，並推動落實與檢討改善；另外由稽核室成立內部稽核小組負責稽核，每年定期執行至少一次抽核資通安全檢查之控制情形，追蹤改善計畫執行成效。
 

資通安全風險管理架構
 

鑽石投資針對資通安全管理責由管理部資訊單位成立資通安全委員會，由董事長擔任 召集人，並設立資通安全管理代表一職，委員會下設資通安全小組及內部稽核小組， 共同制定資通安全政策暨執行計畫並於資通安全政策訂定「強化安全防護，維護資訊 安全」的政策聲明。

資通安全小組每季向資通安全管理代表報告公司資安管理現況，每年檢討資安政策。 另外由內部稽核小組 ( 稽核室 ) 負責稽核，每年定期執行抽核資安政策執行情況，並 追蹤缺失改善計畫執行成效。

2023年資通安全小組設有2人，內部稽核小組設有1人，期間召開1次資通安全會議， 年內並未發生重大資通安全違規事件。

資通安全目標

為維護資訊資產之機密性、完整性與可用性，本公司期藉由資通安全政策之實施以達成下列目標：

1. 建立安全及可信賴之資訊化作業環境，確保本公司資料、系統、設備及網路之安全，以保障本公司業務永續運作。
2. 保護業務服務之安全，確保資訊需經授權人員才可存取資訊，以確保其機密性。
3. 保護業務服務之安全，避免未經授權的修改，以確保其正確性與完整性。
4. 建立業務永續運作計畫，以確保資訊業務服務之持續運作。
5. 確保各項業務服務之執行須符合政府相關法令（如：資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）規範之要求。
6. 為保護本公司業務相關個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
7. 提升對資訊資產之保護與管理能力，降低營運風險。
    

資通安全具體管理措施

為維護資訊資產之機密性、完整性與可用性，本公司期藉由資通安全政策之實施以達成下列目標：

1. 制定管理辦法
   為健全資通安全管理制度，於2024年3月份開始導入ISO 27001認證，並於2024年8月底取得發證通知，藉由國際資安管理標準落實相關管理制度，以提升同仁資通安全意識，建立正確的電腦網路使用準則。已分別制定資通政策及相關管理程序書如下：資通安全政策、資通安全組織與目標管理程序書、資訊資產管理程序書、資通安全風險評鑑、實體安全、作業安全、存取控制、資通安全事件管理等相關程序書及說明書。
    
2. 資訊技術
   本公司在資訊安全防護上，加強軟體與硬體方面多層次防護，其中包含：帳號複雜性密碼驗證、主機與用戶端防毒、上網行為管理/惡意網站防護、防火牆阻擋、主機資料備份、資料加密、網路IP管理及EDR(端點偵測與回應)等防護措施。2023年EDR部署範圍約為70%，未來將持續投入資源以提升EDR部署範圍達90%以上。
    
3. 推廣與改善
   為提升同仁資通安全觀念與強化自我保護意識，每年至少辦理1次資通安全管理審查會，針對年內相關資安制度與事件進行監督與管制，另每年至少舉行資通安全宣導3小時以及資通安全事件通報演練1次。2023年共計3場次全體員工資通安全宣導，包含不讓駭客抓住你的手、個資保護及智慧型手機安全防護、AI應用實務及資安、個資防護等課程，並完成2人次ISO 27001:2022訓練課程。此外，2023年共計執行4次電子郵件社交工程演練，成功通過釣魚測試為93.42%，未來將增加釣魚郵件的寄送樣態，若遭釣魚成功者，需再次接受資訊教育訓練，以提升公司人員資安意識。
    
4. 加入資通安全組織
   已於2022年9月加入TWCERT/CC資安聯盟，不定期透過上述平台進行網駭情資交換，期藉由聯防機制，網駭情資共享，擴大公司資安防禦廣度，及強化資安韌性。

2023 年資通安全教育訓練統計

導入ISO27001 ISMS制度

為展現鑽石投資對於資安的重視程度，並期與國際資安標準接軌，已於2024年第二季啟動導入ISO 27001 Information Security Management System (ISMS)，並於2024年4月成立資通安全管理委員會，由董事長為委員會召集人，授權管理代表推動資通安全管理及運作、重要資訊保護措施、災害演練與執行計畫等。
此次導入ISO驗證項目，包含系統與管理面，執行項目包含風險評估、弱點修復、安全防護、風險驗證、資產清查及風險評鑑及人員教育訓練等工作項目，期符合國際資訊安全管理規範。
鑽石投資於2024年8月取得ISO27001發證通知，預計2024年底取得證書。 

資通安全管理成效表