信息安全

本公司于2017年发布《信息安全政策》,具体规范员工在作业程序时需遵守相关规则,严格执行信息安全政策与客户隐私保护措施,以保护公司商业机密及客户资料不外泄,并持续取得ISO 27001验证,确保信息资产的机密性、完整性及可用性。2020年8月12日召开审查会议检讨改善信息安全及评估适用性,且于2020年10月19日再度通过BSI英国标准协会ISO 27001国际资安认证三年重新审查,将持续从人员到组织强化全方位资安防护与建立联防机制。2020年,本公司并未接获因外泄客户资料或侵犯客户隐私的申诉事件。

信息安全委员会

本公司于2017年成立信息安全委员会,由总经理担任信息安全管理代表,定期向最高管理阶层报告信息安全系统之绩效,并审核信息安全政策与目标。信息安全委员会下设置资安应变小组,小组成员皆来自各个部门,需定期接受资安应变训练,负责规划资安危机处理程序,并负责召集相关人员进行计划之测试演练。

信息安全委员会架构

信息安全政策与紧急应变机制

为维护本公司信息资产之机密性、完整性与可用性,并保障用户信息隐私,我们于信息安全政策中明订同仁应避免未经授权的存取及修改,同时尊重知识产权,保障客户及公司信息,且当任何人发现信息安全意外事故或可疑之安全弱点,均应依循通报机制向信息部人员反应,信息部人员即进行适当调查及处理。
遵循《信息安全政策》为全体同仁之责任,当本公司员工违反信息安全政策时,将视情节轻重追究其民事、刑事及行政责任或依本公司之相关规定进行惩处,同时与员工绩效评估做整合,减少员工因违反信息安全管制规定遭受处罚与法律责任之情况,也降低公司营运所面临之资安风险。

发现可疑资安风险通报流程

本公司依据ISO 27001验证规范,每年定期进行一次内部稽核,后续由外部第三方验证单位进行外部稽核,近年来皆无发现重大缺失。本公司亦管理信息系统复原机制演练,测试信息系统复原程序之有效性,确保即使公司系统受到天灾或恶意攻击也能持续运作。本公司亦频繁执行弱点扫描,2019年8月我们正式导入Security Scorecard系统,透过持续升级跟强化,2020年本公司评分已达A等级(90分以上)。

信息安全教育训练

本公司由信息部统筹规画公司内部之信息安全教育训练,并每季进行资安公告与倡导,致力于提升同仁信息安全意识。2020年信息部资安通告主题含括商业电子邮件诈骗(BEC)之防范、个资外泄之防范与应对、钓鱼网站与邮件病毒防范等。本年度信息安全教育训练内容包括信息安全重要性及责任、资安事件通报管道、资安趋势与威胁分析、国内外案例倡导、个人资料保护法简介、安全认证优质企业(AEO)信息技术安全简介、人员信息安全守则等,共计开设44堂信息安全相关教育训练课程,总受训人次共计541人,总受训时数达13199.5小时。