信息安全

本公司成立信息安全委员会,设置资安人员3位,每季召开资安会议,每年召开资安管理审查会议,由总经理担任信息安全管理代表,定期向最高管理阶层报告信息安全系统之绩效,并审核信息安全政策与目标。 本公司发布《信息安全政策》并订定『资通安全管控作业程序』,同时持续取得ISO 27001验证,确保信息资产的机密性、完整性及可用性。本公司将持续从人员到组织强化全方位资安防护与建立联防机制。2021年,本公司并未接获因外泄客户资料或侵犯客户隐私的申诉事件。

本公司于 2022年7月成功加入TWCERT资安联盟,之后不定时收到台湾计算机网络危机处理暨协调中心 (TWCERT/CC) 寄来资安情资加强资安防护,并检视内部各项设备、系统更新或弥补漏洞。

信息安全政策与紧急应变机制

为维护本公司信息资产之机密性、完整性与可用性,并保障用户信息隐私,我们于信息安全政策中明订同仁应避免未经授权的存取及修改,同时尊重知识产权,保障客户及公司信息,且当任何人发现信息安全意外事故或可疑之安全弱点,均应依循通报机制向信息部人员反应,信息部人员即进行适当调查及处理。
遵循《信息安全政策》为全体同仁之责任,当本公司员工违反信息安全政策时,将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处,同时与员工绩效评估做整合,减少员工因违反信息安全管制规定遭受处罚与法律责任之情况,也降低公司营运所面临之资安风险。

发现可疑资安风险通报流程

本公司依据ISO 27001验证规范,每年定期进行一次内部稽核,后续由外部第三方验证单位进行外部稽核,近年来皆无发现重大缺失。本公司亦管理信息系统复原机制演练,测试信息系统复原程序之有效性,确保即使公司系统受到天灾或恶意攻击也能持续运作。本公司亦频繁执行弱点扫描,2019年8月我们正式导入Security Scorecard系统,透过持续升级跟强化,本公司持续维持在A等级(90分以上)。

信息安全教育训练

本公司每季进行资安公告与倡导,致力于提升同仁信息安全意识。2021年信息处资安通告主题含括钓鱼网站诈骗预警、勒索攻击事件防范与紧急处理原则、窃密软件及恶意软件防范、反诈骗信息倡导等。2021年信息安全教育训练内容包括企业资安趋势、近期案例倡导、资安政策、人员信息安全守则,个资/隐私相关教育训练课程内容包括个人资料保护法简介、欧盟GDPR法规及案例回顾等,全体员工均100%完成信息安全课程及个资/隐私保护课程。

信息安全风险管理计划