資訊安全

本公司於2017年發布《資訊安全政策》,具體規範員工在作業程序時需遵守相關規則,嚴格執行資訊安全政策與客戶隱私保護措施,以保護公司商業機密及客戶資料不外洩,並持續取得ISO 27001驗證,確保資訊資產的機密性、完整性及可用性。2020年8月12日召開審查會議檢討改善資訊安全及評估適用性,且於2020年10月19日再度通過BSI英國標準協會ISO 27001國際資安認證三年重新審查,將持續從人員到組織強化全方位資安防護與建立聯防機制。2020年,本公司並未接獲因外洩客戶資料或侵犯客戶隱私的申訴事件。

資訊安全委員會

本公司於2017年成立資訊安全委員會,由總經理擔任資訊安全管理代表,定期向最高管理階層報告資訊安全系統之績效,並審核資訊安全政策與目標。資訊安全委員會下設置資安應變小組,小組成員皆來自各個部門,需定期接受資安應變訓練,負責規劃資安危機處理程序,並負責召集相關人員進行計畫之測試演練。

資訊安全委員會架構

資訊安全政策與緊急應變機制

為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資訊隱私,我們於資訊安全政策中明訂同仁應避免未經授權的存取及修改,同時尊重智慧財產權,保障客戶及公司資訊,且當任何人發現資訊安全意外事故或可疑之安全弱點,均應依循通報機制向資訊部人員反應,資訊部人員即進行適當調查及處理。
遵循《資訊安全政策》為全體同仁之責任,當本公司員工違反資訊安全政策時,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處,同時與員工績效評估做整合,減少員工因違反資訊安全管制規定遭受處罰與法律責任之情況,也降低公司營運所面臨之資安風險。

發現可疑資安風險通報流程

本公司依據ISO 27001驗證規範,每年定期進行一次內部稽核,後續由外部第三方驗證單位進行外部稽核,近年來皆無發現重大缺失。本公司亦執行資訊系統復原機制演練,測試資訊系統復原程序之有效性,確保即使公司系統受到天災或惡意攻擊也能持續運作。本公司亦頻繁執行弱點掃描,2019年8月我們正式導入Security Scorecard系統,透過持續升級跟強化,2020年本公司評分已達A等級(90分以上)。

資訊安全教育訓練

本公司由資訊部統籌規畫公司內部之資訊安全教育訓練,並每季進行資安公告與宣導,致力於提升同仁資訊安全意識。2020年資訊部資安通告主題含括商業電子郵件詐騙(BEC)之防範、個資外洩之防範與應對、釣魚網站與郵件病毒防範等。本年度資訊安全教育訓練內容包括資訊安全重要性及責任、資安事件通報管道、資安趨勢與威脅分析、國內外案例宣導、個人資料保護法簡介、安全認證優質企業(AEO)資訊技術安全簡介、人員資訊安全守則等,共計開設44堂資訊安全相關教育訓練課程,總受訓人次共計541人,總受訓時數達13199.5小時。