公司治理

晶睿通訊致力於建立及維護健全之公司治理制度，並相信完善的公司治理為強化營運動能、保障股東權益及維持公司誠信之基礎。我們除已依法訂定公司治理守則、董事會議事規則、股東會議事規則、道德行為準則、誠信經營守責暨作業程序及行為指南、永續發展實務守則，且董事會相關職能及運作，均依相關法令執行外，並設有內部控制制度，相關規範可至晶睿通訊官網公司治理專區下載。現行組織架構如下。

晶睿通訊組織圖

資訊安全管理

資訊安全組織架構 

晶睿通訊於2020年開始成立資訊處，下轄資訊管理與資訊安全管理兩大功能，並且開始資訊安全管理組織運作。資訊安全組織以總經理與高階主管為成員，每年定期會議討論底下議題，並每年度向董事會報告：

1.檢討資訊安全執行狀態並對近期重大資訊安全威脅進行評估。

2.檢視和檢討重大資安事件，並追蹤後續修正執行成果。

3.統一衡量資訊安全風險目標。

4.決議年度資訊安全資源和持續管理措施。

資訊安全政策與處理程序 

晶睿通訊資訊安全政策為「確保業務資訊安全、保障業務持續營運」以及「適用於所有同仁、臨時契約人員、委外廠商，使用本公司資訊資產之外部組織人員」，而每一位晶睿通訊股份有限公司員工，都必須遵循相關資訊安全規範與政策，包括：

1.    不侵犯智慧財產權。

2.    不安裝和使用任何沒有適當授權的軟體或服務於業務上。

3.    安裝防毒軟體。

4.    資訊設備遺失盡速回報。

5.    公司電子信箱僅作公司業務使用。

6.    未經授權允許，不可揭露公司業務資訊與秘密。

7.    善加保管公司資訊系統帳號密碼。

8.    迅速回報任何資安事件與網安事件。

ISO 27001資訊安全管理系統

2021年起，因應ISO 27001：2013認證需求，成立專責資訊安全工作小組，建立資訊安全風險管理作業機制，以及資安事件和事故管理標準流程，確保持續營運以及相關作業風險在可接受範圍。藉由持續改善PDCA：管理審查和稽核活動確定管理系統有效，指導相關單位進行年度風險評鑑和執行總公司教育訓練。ISO 27001 相關規範訂立完成，公司品質系統與資安相關規範，將統一參照此規範標準。預計2025年相關規範更新ISO 27001：2022年國際標準版本。

企業網路資訊安全 

2023年企業網路資訊安全重點工作如下：

1.    IT單位持續維護 ISO 27001 管理系統認證資格。

2.    在企業雲端郵件服務增加MFA保護機制。

3.    加入端點權限控管和資料洩漏防護機制。

4.    防火牆加入備援機制，加強可用性和對外防護。

5.    機房更新發電設備、系統化線路。

6.    持續增加對外頻寬，增加系統可用性。

7.    公司總部非直接人員年度資訊安全教育訓練，年度目標達成人均1.5小時。

產品資訊強化 

晶睿通訊的產品主要都是網路性產品，在IoT和AI功能普及的時代，產品易受駭客鎖定攻擊，因此客戶對於產品資訊安全強度要求持續提升。晶睿通訊在軟韌體開發過程，已結合靜態程式碼掃描和動態弱點測試，確保產品安全和品質，系統化對技術脆弱點進行管理。晶睿通訊產品依然不定期送外部驗證單位進行滲透測試，確保產品安全符合市場和客戶期待。2023 年產品資訊安全重點工作如下：

1.    持續產品送驗符合台灣物聯網資安標準。

2.    產品開發符合 IEC62443 ML2 的框架。

3.    雲端產品導入更安全的資料加密機制，確保客戶資料不會被服務系統管理人員在內的其他非授權人員取得。

4.    產品開發過程持續進行靜態掃描，亦後續進行Blackbox Testing，針對重大與中度嚴重問題進行修復。

5.    修改產品支援新一代瀏覽器安全標準。 

6.    更新產品應用程式伺服器。

建立緊急應變處理機制 

為了能有效處理企業與產品的相關資安問題，晶睿通訊於2020年成立資安緊急應變處理小組，結合全球行銷、業務營運、資訊安全、產品企劃、產品研發等單位，針對外部回報的產品相關資安問題進行處理與回應，而此團隊除了處理產品資安問題，也同時對公司網站的相關資安問題進行處理與回應。透過標準的處理程序，達成有效率的問題處理，讓損害得以控管並減低客戶抱怨。

2023年並無發生重大資訊安全事件，也無發生侵犯客戶隱私或遺失客戶資料的投訴。

晶睿通訊也在官方網站設有資訊安全專頁，提供漏洞政策、安全強化指南、以及相關安全公告，並提供網路客服信箱security@vivotek.com 即時向晶睿通訊通報漏洞以及其他安全問題，一同守護終端用戶資訊安全。