資訊安全與隱私保護

技嘉科技2021年成立資訊安全委員會，考量國際標準、法規要求、個資保護、風險與危機管理等，制定資訊安全政策及管理架構，並將供應商納入管理，以強化供應鏈聯防，全面推動資訊安全管理、規劃、督導及執行，並定期向集團總經理呈報整體資訊安全管理組織相關資安管理作業及制度的執行成效。

為接軌美國國家標準暨技術研究院(NIST)網路安全框架(Cybersecurity Framework, CSF2.0)，建置資訊安全管理架構與資訊安全應變小組，導入全面向資安管理標準，根據5大關鍵指標，包括識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)，持續落實資安改進計畫，並完全涵蓋資訊安全風險管理的生命週期。

為因應2024年AI伺服器業務擴充，新產品、新供應商、客戶服務升級與資安風險，由擁有資訊與產品資安相關長期經驗的李宜泰集團總經理為資訊安全委員會之最高召集人，領導每季資訊安全委員會之各項事務推動，並增設資訊安全長(CISO)與資安專責人員，執行2次社交工程演練與強化員工訓練，提升員工恪守公司資訊安全政策之意識，降低資訊安全管理風險。

管理組織架構

資訊安全政策

遵循國際資安標準（NIST CSF 框架）以及國內外資訊安全法規，每年審視修訂資訊安全管理規範。
確保資訊的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability），使資訊能安全地、正確地、適切地及可靠地運用於達成集團經營目標之規劃、管理及執行成效。
為確保長久以來的客戶優質安全產品體驗，技嘉科技確保研發流程、開發產品、雲端服務與製造之供應鏈等資安管理皆需遵循資安政策，以期有效降低管理風險，持續提高整體資安成熟度。
定期進行資安攻防演練，並提供資安教育訓練，強化內部員工資訊安全意識，讓資訊安全落實到每一個環節。

資訊安全管理

資安風險管理與因應機制

資訊安全管理與稽核

為更好地因應資安風險管理，我們至少1年2次審視資安風險曝險程度，鑑別資安風險的容忍度，包含資安風險的壓力測試、敏感度分析，辨識出資安風險的優先次序，進而針對資安風險採取減緩行動，以上的資安風險管理流程皆通過內外部稽核，並持續維持ISO/IEC 27001:2022、CNS 27001:2023資安管理系統驗證的有效性，驗證範圍涵蓋資訊設備與資訊安全管理系統。

推動技術升級與資安攻擊防護

引入數據加密技術、多因子認證、入侵檢測系統、人工智慧安全分析工具，以提升對網路威脅的防禦能力，降低數據洩露風險；此外，加強內部資安攻擊防護措施，包含使用防火牆設備、架設入侵偵測系統、定期執行外部網站之弱點掃描及滲透測試、每年至少1次應演練程序，使2024年公司的資安風險與成熟度維持在A等級(最高等級)。

資安教育訓練

我們設計並逐步推行資安管理政策，公告內部資安規範，明確制定資安舉報流程，確保員工在發現可疑事件時能依據標準程序進行通報。同時，我們將資訊與網路安全納入員工績效評估，並定期舉辦資訊安全與隱私保護培訓課程，以提升全體員工的資安意識與應對能力。在供應商管理方面，我們依據資訊供應鏈資安風險管理規範，要求供應商遵循相關政策，導入資安稽核並納入供應商管理，以協助供應商提升資安能力，透過積極提升內外部利害關係人的資安意識與能力，確保公司全面合規，降低因數據洩露或不當處理而導致的高額罰款或法律責任。2024年，我們共辦理3個主題的教育訓練，累計2,464人次參與，總時數達2,122小時，其中資安政策與安全意識教育訓練新店總部之同仁100%完訓。

2024年資訊安全教育訓練成果

隱私保護

為避免因個資外洩而觸犯個資法之風險並保障利害關係人之隱私，技嘉科技設有個資法執行委員會，執掌隱私保護各項工作，包含員工教育訓練、依據個資法更新章程或管理辦法、執行稽核並提出缺失和改善報告、開發與修改IT系統、硬體及網路設備等建置等。

此外，亦在內部發布隱私相關注意事項，提醒組織同仁可能的外洩時機，針對外在風險，提出因應措施，包含加強資安技術，如防火牆、入侵政策等，降低來自企業外部的攻擊風險；同時以法律制度措施，如教育、稽核、獎懲等制度，約束技嘉內部人員，制定個資利用SOP面向，針對蒐集、利用、委外、銷毀詳述處理過程，以防範個資洩露風險。

技嘉科技另制定隱私政策規範，適用於公司整體營運（包含供應商與第三方服務提供商），並且確保所有風險處理措施符合公司的安全政策和程序。在合規審查中，我們定期審查和更新隱私政策，以確保其與相關法律法規保持一致並符合最新的合規要求。並且參考行業的最佳實踐，如GDPR、CCPA等，持續將其納入隱私政策中。更多資訊請參考技嘉科技《隱私權政策》。