为维护本公司信息资产之机密性、完整性与可用性,并保障用户信息隐私,我们于信息安全政策中明订同仁应避免未经授权的存取及修改,同时尊重知识产权,保障客户及公司信息,且当任何人发现信息安全意外事故或可疑之安全弱点,均应依循通报机制向信息部人员反应,信息部人员即进行适当调查及处理。
遵循《信息安全政策》为全体同仁之责任,当本公司员工违反信息安全政策时,将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处,同时与员工绩效评估做整合,减少员工因违反信息安全管制规定遭受处罚与法律责任之情况,也降低公司营运所面临之资安风险。
本公司依据ISO 27001 验证规范,每年定期进行一次内部稽核,后续由外部第三方验证单位进行外部稽核,近年来皆无发现重大缺失。本公司每年定期对重要核心系统执行复原演练,测试其复原程序之有效性,确保即使公司系统受到天灾或恶意攻击仍能持续运作。本公司亦定期执行弱点扫描,并搭配第三方安全风险 分析平台对外部服务站台侦测弱点,持续改善与强化资安防护,评等皆维持在A等级(90分以上)。
本公司由信息处统筹规画公司内部之信息安全教育训练,并每季进行资安公告与倡导,致力于提升同仁信息安全意识。2023年信息处资安通告主题含括密码定期变更倡导、社交工程演练、勒索病毒事件分享、反诈骗信息倡导等。2023年信息安全教育训练内容包括企业资安趋势、近期案例倡导、资安政策、人员信息安全守则及社交工程攻击防范意识倡导(员工总受训时数为3,762小时),个资/隐私相关教育训练课程内容包括个人资料保护法简介、欧盟GDPR法规及案例回顾等(员工总受训时数为3,669小时),全体员工均100%完成信息安全课程及个资/隐私保护课程。