威力工業資安政策

威力工業網絡股份有限公司始終致力於提供安全、可靠的工業網絡產品，並以符合法規要求為首要使命。我們的產品不僅符合現行的國際安全標準和法規要求，還將持續追蹤未來法規動態，確保我們的產品在快速變化的安全環境中始終合規。

我們公司及產品已通過以下法規與標準的測試與認證

ISO/IEC 27001：國際資訊安全管理系統標準，確保公司在資訊資產的保護與管理上達到最高安全標準，全面應對現代化威脅，並展現卓越的資訊安全能力與信任保障。

IEC 62443-4-1：工業自動化和控制系統（IACS）組件的安全產品開發標準，涵蓋從產品設計、開發、測試到導入的整個生命週期，強調安全需求的定義、設計導入、測試驗證、缺陷管理等重要範疇，確保產品開發階段符合最高安全標準。

IEC 62443-4-2：工業自動化和控制系統（IACS）組件的技術安全要求標準，涵蓋身份驗證、加密和完整性保護等多個領域，旨在確保工業控制系統的整體安全性。

臺灣物聯網資安標章：由臺灣資通產業標準協會（TAICS）頒發，驗證物聯網設備的資安防護能力，確保產品在工業物聯網應用中的安全性。

FirstNet 認證：美國公共安全專用通訊平台的認證，確保設備在緊急情況下提供穩定且可靠的通訊服務，保障公共安全人員和應急響應團隊能夠始終保持聯繫和操作的連續性。

我們的產品採用最嚴格的安全開發與設計流程，從概念到部署，貫徹全方位的資安理念：

(1) 安全開發流程：

• 嚴格遵循 IEC 62443-4-1 標準，確保產品設計和開發中的每個階段均符合安全要求。
• 持續進行威脅建模和漏洞掃描，提前預防潛在風險。

(2) 安全設計理念：

• 在硬體和軟體層面採用多層次防護機制，最大化安全保障。
• 設計的靈活性確保產品能迅速應對新的法規和技術需求。

(3) 持續改進：

• 結合用戶回饋與安全研究的最新成果，不斷優化產品安全性能。
• 建立專業資安團隊，專注於產品生命週期內的安全維護與合規更新。

安全是我們對客戶的長期承諾。我們將持續創新，應對新興的安全挑戰，為客戶提供與時俱進的網絡安全解決方案，並以嚴謹的開發與設計守護工業數位化的未來。

威力工業網絡股份有限公司重視客戶產品的安全性，歡迎安全研究人員或用戶回報發現的漏洞。我們的漏洞管理流程如下：

• 請將漏洞資訊發送至專屬聯絡信箱：cybersec_support@oringnet.com
• 必須包含漏洞描述、影響範圍，以及重現步驟（如適用）。

• 確認：我們將於 5~7 個工作日內確認收到漏洞報告。
• 分析：專家團隊評估漏洞影響，必要時聯繫回報者補充細節。
• 修復：根據漏洞嚴重性制定修復計劃，並於修復完成後發布公告。

• 回報者資訊將受到保密。
• 如回報者同意，我們會在漏洞公告中致謝。

為了滿足資安法規的要求，我們建立了一套全面的開源軟體管理體系，確保使用的開源軟體安全且合規：

• SBOM（軟體物料清單）：我們為每一款產品建立了詳細的 SBOM，清楚記錄所使用的所有軟體組件，包括開源軟體名稱、版本、使用協議及相關資訊。
• 漏洞追蹤與更新：定期檢查所使用的開源軟體是否受到已知漏洞的影響，並在必要時提供補丁與更新。
• 透明性與合規性聲明：如有需要，我們可以提供 SBOM 的摘要版本，並保證我們的開源軟體使用符合國際法規和協議要求。

威力工業網絡股份有限公司將提供產品安全更新，並承諾及時修復已知漏洞。我們的安全更新政策包括：

(1) 定期更新：提供常規安全更新，針對已知的低風險漏洞與性能改進進行修補。

(2) 緊急修復：對於高風險漏洞，我們將及時發布補丁，並通知受影響的客戶。

(3) 更新建議：

• 建議客戶在更新前備份系統配置。
• 更新完成後，檢查設備是否正確應用最新版本。

如需更多安全資訊，或對產品有任何疑問，請聯繫我們：

• 漏洞回報： cybersec_support@oringnet.com
• 技術支援： support@oringnet.com

我們承諾為客戶提供快速、專業的服務，以確保產品的最佳安全性與穩定性。