| 永续绩效指标 | 2025年绩效 | 2025年目标 | 2026年目标 | 2030年目标 |
|---|---|---|---|---|
| 资安事件发生件数 | ✔0 件 | 0 件 | 0 件 | 0 件 |
| 因侵犯客户隐私或遗失客户资料的投诉件数 | ✔0 件 | 0 件 | 0 件 | 0 件 |
信息安全
个人信息保护
信息安全
信息安全政策
钰创科技建立“信息安全,人人有责”之观念,确保公司信息之机密性、完整性及可用性,已依公司营运要求及相关法令规范,制定资安政策作为信息安全管理之遵循方针,并藉由内部资安组织之运作以确实执行管理措施,另应建立员工资安风险意识,并通过管理程序及安全防护技术,以达到信息搜集、处理、传送、储存及流通之安全目标。
信息安全组织、成员及监督
- 资安委员会:
钰创科技已设立信息安全委员会,负责订定、审核信息安全方针、资源分配及检视各项措施执行情况,另高阶管理阶层主管担任管理代表,负责信息安全管理事项之协调及推动,除定期召开资安会议并就执行情形每年一次向董事会提出报告。 - 执行秘书与成员:
由专责资安主管担任执行秘书襄助有关资安工作进行,并由行政、研发、法务、信息及厂务等部门主管担任委员以参与信息安全各项计划、措施之拟订与执行。
人力资源安全与信息安全教育训练
- 钰创科技已将信息安全纳入人员聘用变更或终止聘用流程,对所属员工进行管理,以确保其在职位上能执行各项相关信息安全措施,降低可能的信息安全风险。
- 钰创科技定期按员工所从事业务工作性质及当前资安环境所需,安排资安意识、社交工程攻击与防范教育训练,以建立员工信息安全认知,提升公司信息安全水准。
- 为加强信息安全管理人力之培训及提升本公司信息安全管理能力,本公司安排对专责人员进行信息安全管理专业训练课程及外部信息安全职能训练课程,办理信息人员资安内部训练课程。
- 不定期对员工发出资安防骇讯息公告及邮件资安通告,提醒全公司同仁提高警觉,并提供同仁资安事件信息及防范因应措施。
信息资产鉴别、风险评估及资源投入
- 为识别公司资产及确保所有资产依其重要性受到保护,本公司每年定期进行信息资产清点与分类,检视信息资产之机密性、可用性及完整性,评估其可能存在的弱点与可能面临的威胁拟订风险处理计划持续追踪至完成改善为止。
- 为因应外部资安威胁危害,本公司持续在既有防护机制外加强相关纵深防御措施,以防毒、防骇、防漏三大资安防护主轴为目标,建置防火墙、入侵侦测防御、防毒系统、双重部署端点侦测与回应软件(EDR)及启动多因子认证(MFA)等各项资安防护方案,以提升公司在防御外部攻击以及确保内部机密信息防护的能力。
信息安全事件通报与应变
- 钰创科技已参加国内资安联防组识以取得及分享各项资安情资俾及时采取因应措施。
- 针对可能影响营运冲击之事件,进行模拟演练;对于本公司信息安全事件,各部门应在事件发生时按权责及事件分级机制进行通报、依已拟订之应变计划妥善采取措施,并将处理过程及结果妥予记录并向资安委员会报告。
政策调整与修订
本政策定期由信息安全委员会依相关法令、技术及业务等最新发展现况进行修订,以确保合宜、适切及有效性。
执行情形
钰创科技导入建立完整的 ISO 27001 信息安全管理系统,在 2024 年 6 月通过第三方验证取得核发证书,证书之有效期限为 2027 年 6 月,从系统面、技术面、程序面降低企业资安威胁,建立符合客户需求的信息安全保护环境,并不断地进行“计划-实施-查核-行动”(PDCA)循环以持续改善。
ISO 27001:2022 证书

个人信息保护
个人资料保护政策与管理原则
钰创科技高度重视个人资料保护,恪遵 《个人资料保护法》 及 《个人资料保护法施行细则》,并订定 《钰创个人资料管理准则》,严谨管理个资隐私安全。我们尊重当事人之权益,坚持“以不逾越特定目的之必要范围”为原则进行搜集、处理与利用。
搜集单位与资安防护措施
- 权责单位明确化:
定义个资搜整单位包含:(1)人资与劳工安全卫生部门、(2)股务与财务部门、(3)信息处、(4)其他因业务属性有取得必要者。各单位须确认资料之完整性与正确性,并依更正、补充、届满删除之原则详实造册纪录。 - 严谨的资安控管:
个人资料档案若以自动化机器(如服务器、电脑、硬盘)储存,均建立加密及权限管理制度。针对重要个资(经一级主管裁定者)另加设管控密码,非经核可并取得权限者不得擅自存取。 - 适用范围与保密承诺:
本准则适用于 钰创全体员工与客户。除法令规范范围内使用外,绝不以提供、出租或其他变相方式将个资揭露予第三人。
管理组织与运作
为有效管理隐私风险,本公司设立“钰创个人资料管理执行小组”作为准则之制定与实施单位。透过定期会议及议题导向的临时会议,建立跨单位沟通平台,搜集最新法规资讯并稽核各项个资保护措施之执行成效。
2025年度执行成果
- 教育训练成效:
办理新进员工个资保护培训,完训率达 81.25%。 - 深化合规意识:
举办营业秘密保护、资安防范意识、诚信经营等人权保障课程,总学习时数达 379 小时,参训共 513 人次。完训后测验及格率与受训员工占比皆为 100%。 - 风险管理与零裁罚:
本年度透过邮件、举报专线或书面报告之举报案件合计 0 件,亦未发生任何违反个人资料保护法之事件。