資訊安全

本公司成立資訊安全委員會,設置資安人員5位,每季召開資安會議,每年召開資安管理審查會議,由總經理擔任資訊安全管理代表,定期向最高管理階層報告資訊安全系統之績效,並審核資訊安全政策與目標。

本公司於2017年發布《資訊安全政策》,具體規範員工在作業程序時需遵守相關規則,嚴格執行資訊安全政策與客戶隱私保護措施,以保護公司商業機密及客戶資料不外洩,並持續取得ISO 27001驗證,確保資訊資產的機密性、完整性及可用性。本公司亦加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)資安聯盟,不定時收到TWCERT/CC寄來資安情資加強資安防護,並檢視內部各項設備、系統更新或彌補漏洞。2023年,本公司並未接獲跟資訊安全、外洩客戶資料或侵犯客戶隱私相關的申訴事件。

本公司重視產品或服務之使用者、客戶、供應商、承包商之員工、應徵者、訪客,以及瀏覽本公司網站的訪客等之隱私權(下稱「個資當事人」),本公司僅於必要範圍內使用所蒐集之個資當事人隱私資訊,並將其隱私資訊使用於「隱私權政策」所列之目的,目的外使用的比例為0%。

資訊安全政策與緊急應變機制

為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資訊隱私,我們於資訊安全政策中明訂同仁應避免未經授權的存取及修改,同時尊重智慧財產權,保障客戶及公司資訊,且當任何人發現資訊安全意外事故或可疑之安全弱點,均應依循通報機制向資訊部人員反應,資訊部人員即進行適當調查及處理。
遵循《資訊安全政策》為全體同仁之責任,當本公司員工違反資訊安全政策時,將視情節輕重追究其民事、刑事及行政責任或依本公司之相關規定進行懲處,同時與員工績效評估做整合,減少員工因違反資訊安全管制規定遭受處罰與法律責任之情況,也降低公司營運所面臨之資安風險。

發現可疑資安風險通報流程

本公司依據ISO 27001 驗證規範,每年定期進行一次內部稽核,後續由外部第三方驗證單位進行外部稽核,近年來皆無發現重大缺失。本公司每年定期對重要核心系統執行復原演練,測試其復原程序之有效性,確保即使公司系統受到天災或惡意攻擊仍能持續運作。本公司亦定期執行弱點掃描,並搭配第三方安全風險 分析平台對外部服務站台偵測弱點,持續改善與強化資安防護,評等皆維持在A等級(90分以上)。

資訊安全教育訓練

本公司由資訊處統籌規畫公司內部之資訊安全教育訓練,並每季進行資安公告與宣導,致力於提升同仁資訊安全意識。2023年資訊處資安通告主題含括密碼定期變更宣導、社交工程演練、勒索病毒事件分享、反詐騙資訊宣導等。2023年資訊安全教育訓練內容包括企業資安趨勢、近期案例宣導、資安政策、人員資訊安全守則及社交工程攻擊防範意識宣導(員工總受訓時數為3,762小時),個資/隱私相關教育訓練課程內容包括個人資料保護法簡介、歐盟GDPR法規及案例回顧等(員工總受訓時數為3,669小時),全體員工均100%完成資訊安全課程及個資/隱私保護課程。

資訊安全風險管理計畫