資訊安全管理

資訊安全管理

資通安全組織與架構

D-Link持續關注國內外永續發展趨勢、蒐集利害關係人關注之永續議題,依循AA 1000利害關係人議合標準鑑別關鍵利害關係人,並以GRI通用準則2021版之要求鑑別重大主題,審慎評估各個永續議題在經濟、環境、社會及人權層面之衝擊顯著性,依此作為年度永續報告書揭露資訊之基礎,及永續發展策略之規劃依據。

D-Link 友訊科技 資訊安全組織

資訊安全管理策略

本公司已於2022年2月22日董事會通過「資訊安全管理政策」,透過每年定期檢視,確保資訊資產的機密性、完整性、可用性及適法性。

系統資安

本公司已通過「ISO/IEC 27001:2022 資訊安全管理系統(Information Security Management System, ISMS)」國際標準驗證,目前證書之有效期為2020年10月16日至2026年10月15日。透過ISO/IEC 27001資通安全管理系統之導入,強化資通安全事件之應變處理能力,保護公司與客戶之資產安全。
 

產品資安

D-Link在產品開發與生產過程中,始終遵循嚴格的安全規範,確保所有產品均通過相關的資安測試,並且無可利用的漏洞後方可投入生產。為了持續維持高水準的產品資安,每年進行內部自我稽核,並每兩年委託外部第三方資安驗證機構進行獨立稽核審查。此外,D-Link也對合作廠商進行定期資安稽核,嚴格把關產品的資安品質。

產品資安

本公司已於2020年通過「IEC 62443-4-1:2018 產品安全開發制度認證 (Secure Product Development Lifecycle Requirements)」國際標準認證,目前證書之有效期為2020年11月30日至2025年11月29日,從產品設計、開發、測試到導入的產品生命週期,都遵循嚴格安全規範。

 

 

 

產品資安

為應對歐盟將於2025年實施的CE RED 指令增列資安條款Article 3.3 (d), (e), (f),D-Link亦優先於2022年中正式啟動專案,並提前依據ETSI EN 303 645的要求對產品安全規格進行修改,以符合指令的早期規範,並持續關注RED新安規的發布,一旦正式公佈,D-Link 將立即配合實施。目前,D-Link的AQUILA PRO AI系列M30 AX3000 Wi-Fi 6雙頻無線路由器已於2023年5月獲得全台首張EN 303 645合格證書,後續所有銷往歐洲的無線產品也將陸續通過CE RED新資安法規的認證。

個資保護

本公司已於2021年通過「BS 10012:2017 個人資料保護管理制度 (Personal Information Management System, PIMS) 」國際標準驗證,目前證書之有效期為2021年12月01日至2024年11月30日,規範所有相關程序與適用文件,除符合歐盟一般資料保護規範(GDPR)要求。

隱私權保障

本公司已於2022年3月取得「TRUSTe隱私權認證標章」國際標準認證,為了落實隱私權的保障與安全性的承諾,本公司自2014年起即與全球公認資料隱私權管理權威TrustArc Inc.密切合作,由其提供隱私權評估、認證、監測工具等服務,對外服務網站及其網域均通過其稽核與認證,並業已獲得TRUSTe隱私權認證標章。

資訊安全風險管理與持續改善

D-Link長期深耕網路設備與服務,對資訊安全極為重視,關注範圍包括員工、組織、供應商及營運相關資訊資料及軟硬體設備。本公司遵循ISO/IEC 27001:2022資訊安全管理系統標準,制定資安政策,強化資安管理,確保重要資訊資產免受內、外部蓄意或意外之威脅,以維護資訊之機密性、完整性與可用性。後續透過資訊資產及風險管理程序,將重要的資訊資產以PDCA模式建置與維護,確保業務持續運作、降低業務風險、提高服務品質,並確保所有資安相關政策、程序與作業指引能一致且有效地在日常營運中落實。
 

資安具體管理方案

資安防護與管控

為因應日益嚴峻的網路攻擊與風險,公司每年編列預算,採用多層防禦架構(如防火牆、IDS/IPS18、端點防護系統),並由資安專責單位持續推動資訊安全管理與監控防護作業。

資安風險檢討與持續改善

教育訓練與宣導
• 加強員工對郵件社交工程攻擊的警覺性,執行釣魚郵件防禦偵測
• 定期舉辦持續營運演練,提升員工資安意識
資安風險管理監控
委託第三方公正檢驗單位,定期執行公司資訊安全評鑑:
• ISO/IEC 27001:2022 資訊安全管理系統
• IEC 62443-4-1:2018 產品安全開發制度認證
• BS 10012:2017 個人資料保護管理制度
外部威脅偵測防護
• 委託第三方公正檢驗單位定期執行弱點掃描,定期蒐集外部威脅情資,並依據情資內容進行風險評估,強化外部資安 威脅防護
• 已加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),定期蒐集外部威脅情資,並依據情資內容進行風險評估, 由資安人員確認與追蹤各項情資處理結果,藉此強化外部資安威脅防護

投入資通安全管理之資源

重大資通安全事件

本公司於2024年10月發生一起外網網頁伺服器遭駭客攻擊事件,所幸未損及客戶權益,亦未造成公司營運中斷及其他影響。事發當下,資訊部門即時執行斷網阻隔,避免擴大影響層級,同時啟動所有防禦機制,並邀集外部資安公司技術專家協同處理,全面盤點強化資安偵測及保護機制。雖未造成重大衝擊,但未來將持續提升網路及基礎架構之安全管控,確保資訊安全。