資訊安全政策

為追求企業永續經營，以守護顧客信任，宏碁公司於 2019 年開始推動全公司資訊安全管理制度，建立資訊安全政策，作為資訊安全管理依據，以確保宏碁公司的資訊資產安全、資訊服務的連續性，降低資訊安全事件帶來之威脅與衝擊。

資安治理

宏碁作為全球品牌公司，資訊安全的防護，對於品牌價值與投資人、客戶等相關利害關係者對公司的信任，極為重要。宏碁持續完善全球資訊安全組織與資安政策，推動與辦理資訊安全管理制度之各項工作，確保宏碁集團的資訊資產符合相關法律法規和標準，並且定義保護宏碁集團資訊系統和服務所必需的安全控制措施。

我們成立全球資訊安全管理組織，並依其組織架構與權責，共同維持管理制度穩健之運作，進而達成強化資訊安全管理目的。資訊安全管理組織由全球資訊技術總部主管擔任資訊安全管理系統主管，並指派協同召集人，由各處主管擔任資訊安全管理組織委員，並指派代表成立資訊安全管理團隊、資訊安全建置團隊及資訊安全事件應變團隊。資訊安全內部稽核組由稽核擔任，支援組由人資、總務、行銷、法務與財務等部門組成。

自 2021 年10 月，宏碁開啟 Global Re-architect 專案，用2 年時間重新檢視全球各區之資訊安全及基礎建設。我們每年持續通過通過第三方驗證單位BSI 之覆核，確保宏碁公司 ISO27001 持續有效，並持續透過規劃、建立、執行與監督的機制，保護資訊資產的機密性（Confidentiality）、完整性（Integrity）以及可用性（Availability）。協助泛歐IT 導入資訊安全管理系統，並輔助重要核心系統於2023 年7 月成功通過ISO27001 驗證。

2024 年，宏碁總部資安中心因應改組（資安部門升格為資安中心）與針對ISO27001:2022 版本新增ISMS控制措施。為進一步落實資訊安全管理，宏碁總部資安中心舉辦2024 年宏碁集團資安工作坊（Acer Group Cyber Security Workshop）。宏碁總部資安中心透過與集團子公司分享資安經驗，強化集團與總部的聯繫，達到資安聯防之功效。 

證書下載

資訊安全訓練

宏碁公司落實人員教育訓練，提升資訊保護機制與資訊安全管理。2024 年第二季，針對全球 IT 部門員工資安教育訓練，100% IT 人員完成教育訓練。

另外，並針對全球全部門員工實施資安教育訓練，內容包括：密碼、網路釣魚、遠端工作、勒索病毒、商務電子信件攻擊以及釣魚郵件事件通報流程。

2024 由宏碁總部資安中心派發資安意識教育訓練予共計6,148 位全球宏碁員工（包括未上市子公司在內），其中共5,728 位員工成功完訓，達成率約93%。達成標準為，通過課後測驗，且測驗分數均須達100% 方屬完訓。 

資訊安全演練

宏碁為建立有效的主動式防駭安全機制，並確保當公司資訊系統遭受天災、人為因素或惡意攻擊時，員工能即時進行通報及處理，將災害衝擊降至最低，故每年舉行「弱點掃描檢測」、「滲透測試」及「營運持續演練」等之資安情境演練，透過多場演練逐一檢視流程、評估各階段風險係數，建制應變暨復原計畫，強化企業對網路攻擊的風險承載度，提升緊急應變能力。 

Acer 定期每年除了執行火災消防、電力中斷、地震逃生等災害應變演練外，並於每季度針對核心系統(包含企業資源規劃系統，訂單管理系統及財會系統)及超過 100 多項子系統依規劃執行不同程度的復原控制措施的演練，將災害之衝擊最小化。

評量機制

每年實施 ISO27001 第三方機構驗證檢核，並定期安排內外部ISMS 稽核機制，且秉持PDCA持續改善原則，推行改善計畫。2024 年，共執行4 次資訊安全內外部稽核，總發現事項達59項。其中不符合項目有14 項，建議事項有45項（如附圖）。截至2024 年12 月31 日，已經完成改善的項目達47 項（80%）。組織持續規劃資訊自動化工具，提升資訊安全管理有效性與效率，剩餘未改善發現事項將於2025 年度完成改善。  

• 非稽核期間，定時實施資訊安全演練、壓力測試、及資料還原演練
• 定期執行：個人資料盤點及風險評估與處理個人資料的設備安全控管

• 不定期執行：個人資料處理經辦人教育訓練，與實施資安測試演練、監督受託委外廠商遵循個人資料保護管理規定