选择你的语音
信息安全
本公司于2017年发布《信息安全政策》,具体规范员工在作业程序时需遵守相关规则,严格执行信息安全政策与客户隐私保护措施,以保护公司商业机密及客户资料不外泄,并持续取得ISO 27001 验证,确保信息资产的机密性、完整性及可用性。本公司持续要求各部门完成年度「个资保护风险自评」作业,并提交评估结果至风险管理委员会。2022年,本公司并未接获因外泄客户资料或侵犯客户隐私的申诉事件。
本公司于 2022年7月成功加入TWCERT资安联盟,之后不定时收到台湾计算机网络危机处理暨协调中心 (TWCERT/CC) 寄来资安情资加强资安防护,并检视内部各项设备、系统更新或弥补漏洞。
信息安全政策与紧急应变机制
为维护本公司信息资产之机密性、完整性与可用性,并保障用户信息隐私,我们于信息安全政策中明订同仁应避免未经授权的存取及修改,同时尊重知识产权,保障客户及公司信息,且当任何人发现信息安全意外事故或可疑之安全弱点,均应依循通报机制向信息部人员反应,信息部人员即进行适当调查及处理。
遵循《信息安全政策》为全体同仁之责任,当本公司员工违反信息安全政策时,将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处,同时与员工绩效评估做整合,减少员工因违反信息安全管制规定遭受处罚与法律责任之情况,也降低公司营运所面临之资安风险。
发现可疑资安风险通报流程
本公司依据ISO 27001 验证规范,每年定期进行一次内部稽核,后续由外部第三方验证单位进行外部稽核,近年来皆无发现重大缺失。我们亦管理信息系统复原机制演练,测试信息系统复原程序之有效性,确保即使公司系统受到天灾或恶意攻击也能持续运作。2022年本公司扩大ISO 27001 验证范围(增加供应链管理平台、电子签核系统及官方网站之开发、操作及维护、电子邮件管理支持活动),让信息安全管理系统更加全面与完善。本公司亦频繁执行弱点扫描,2019年8月我们正式导入Security Scorecard系统,透过持续升级跟强化,本公司评分仍维持在A等级(90分以上)。
信息安全教育训练
本公司由信息处统筹规画公司内部之信息安全教育训练,并每季进行资安公告与倡导,致力于提升同仁信息安全意识。2022年信息处资安通告主题含括勒索软件攻击事件与网络钓鱼关联性、社交工程演练、勒索病毒事件分享、反诈骗信息倡导等。2022年信息安全教育训练内容包括企业资安趋势、近期案例倡导、资安政策、人员信息安全守则(员工总受训时数为532小时),个资/隐私相关教育训练课程内容包括个人资料保护法简介、欧盟GDPR法规及案例回顾等(员工总受训时数为2,707小时),全体员工均100%完成信息安全课程及个资/隐私保护课程。
信息安全风险管理计划
