信息安全

本公司成立信息安全委员会,设置资安人员5位,每季召开资安会议,每年召开资安管理审查会议,由总经理担任信息安全管理代表,定期向最高管理阶层报告信息安全系统之绩效,并审核信息安全政策与目标。

本公司于2017年发布《信息安全政策》,具体规范员工在作业程序时需遵守相关规则,严格执行信息安全政策与客户隐私保护措施,以保护公司商业机密及客户资料不外泄,并持续取得ISO 27001验证,确保信息资产的机密性、完整性及可用性。本公司亦加入台湾计算机网络危机处理暨协调中心(TWCERT/CC)资安联盟,不定时收到TWCERT/CC寄来资安情资加强资安防护,并检视内部各项设备、系统更新或弥补漏洞。2023年,本公司并未接获跟信息安全、外泄客户数据或侵犯客户隐私相关的申诉事件。

本公司重视产品或服务之用户、客户、供货商、承包商之员工、应征者、访客,以及浏览本公司网站的访客等之隐私权(下称「个资当事人」),本公司仅于必要范围内使用所搜集之个资当事人隐私信息,并将其隐私信息使用于「隐私权政策」所列之目的,目的外使用的比例为0%。

信息安全政策与紧急应变机制

为维护本公司信息资产之机密性、完整性与可用性,并保障用户信息隐私,我们于信息安全政策中明订同仁应避免未经授权的存取及修改,同时尊重知识产权,保障客户及公司信息,且当任何人发现信息安全意外事故或可疑之安全弱点,均应依循通报机制向信息部人员反应,信息部人员即进行适当调查及处理。
遵循《信息安全政策》为全体同仁之责任,当本公司员工违反信息安全政策时,将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处,同时与员工绩效评估做整合,减少员工因违反信息安全管制规定遭受处罚与法律责任之情况,也降低公司营运所面临之资安风险。

发现可疑资安风险通报流程

本公司依据ISO 27001 验证规范,每年定期进行一次内部稽核,后续由外部第三方验证单位进行外部稽核,近年来皆无发现重大缺失。本公司每年定期对重要核心系统执行复原演练,测试其复原程序之有效性,确保即使公司系统受到天灾或恶意攻击仍能持续运作。本公司亦定期执行弱点扫描,并搭配第三方安全风险 分析平台对外部服务站台侦测弱点,持续改善与强化资安防护,评等皆维持在A等级(90分以上)。

信息安全教育训练

本公司由信息处统筹规画公司内部之信息安全教育训练,并每季进行资安公告与倡导,致力于提升同仁信息安全意识。2023年信息处资安通告主题含括密码定期变更倡导、社交工程演练、勒索病毒事件分享、反诈骗信息倡导等。2023年信息安全教育训练内容包括企业资安趋势、近期案例倡导、资安政策、人员信息安全守则及社交工程攻击防范意识倡导(员工总受训时数为3,762小时),个资/隐私相关教育训练课程内容包括个人资料保护法简介、欧盟GDPR法规及案例回顾等(员工总受训时数为3,669小时),全体员工均100%完成信息安全课程及个资/隐私保护课程。

信息安全风险管理计划