資訊安全政策
本公司為客戶提供資訊安全專業服務,自2001年開始提供服務以來便極為關注營運的安全性。為保障本公司及所有客戶的資訊資產安全,資訊安全政策包含以下七項,供本公司全體同仁遵循:
- 致力維護資訊資產之機密性、完整性、可用性,以及隱私性。
- 確保相關使用者的隱私權與個人資料不致遭受侵害。
- 提昇員工的資訊安全技能與認知,建立安全及可信賴的形象。
- 建構完善的資訊安全與隱私管理系統,以符合國際相關標準。
- 提供適當與必要的公司資源,以支持管理制度的完善。
- 推動資訊安全與隱私管理的持續改善。
- 採用先進科學技術,提供全方位、高安全性的資安監控中心(SOC)相關服務。
資訊安全國際標準驗證
本公司已通過下列三項資訊安全相關國際標準之驗證,並持續維持證書之有效性:
- ISO/IEC 27001 資訊安全管理系統驗證
- ISO/IEC 27701 隱私資訊管理系統驗證
- ISO/IEC 17025 實驗室能力驗證
資訊安全管理之驗證範圍涵蓋本公司所提供之各項資訊安全諮詢服務、資安監控中心(SOC)服務、資訊安全檢測服務等。
資訊安全組織
本公司資訊安全管理與個資管理的最高層級組織是「資訊安全與隱私管理委員會」,由總經理擔任召集人,委員由一級主管擔任,下轄「資訊安全與隱私管理暨業務永續推動小組」、「緊急應變處理小組」、「稽核小組」等,並由資安長監督、管理各小組之日常實務運作。 「資訊安全與隱私管理委員會」每年實施管理審查,確保本公司資訊安全與個資保護相關作業的落實。
資安長每年定期與董事會報告公司資安政策及執行狀況。
資訊安全管理與個資保護實務
本公司之資訊安全管理與個資保護實務,依據國際標準「規劃(Plan)、實作(Do)、審查(Check)、改善活動(Act)」的管理循環,分為管理面與技術面予以落實。
管理面實務
| 資訊安全管理涵蓋下列程序 | 個人資訊保護涵蓋下列程序 |
|---|---|
|
|
針對前述資訊安全管理、個資保護相關實務,每年延請公正第三方組織依據國際標準之要求實施驗證稽核,並於每次驗證稽核之前擇期由本公司「稽核小組」實施內部稽核。前述稽核所發現之不符合事項與改善建議,均須依據本公司「矯正及改善作業程序」完成改善、預防作為與存證。
技術面實務
- 每兩個月一次主機弱點掃描
- 每年兩次網站弱點掃描
- 每年兩次全員電子郵件警覺性測試
- 每年一次滲透測試
- 全員電腦即時防毒、防駭檢測
- 建置及維運防火牆、網路入侵偵測系統、網站應用防火牆系統、防毒系統、端點防護系統
- 7X24 全年無休SOC資安監控
- 每年兩次全員資訊安全與個人資料保護相關教育訓練,以及線上測驗
- 每年一次主管資安與隱私管理相關教育訓練,以及線上測驗
- 建置網路隔離、SSL VPN加密通道、跳板主機相關存取控制機制,跳板主機並實施作業錄影存證
影響營運事件之監控與通報應變
針對SOC資安監控所發現或人工通報之資訊、網路系統異常事件,依循本公司之「資訊安全事故管理程序」,先經過人工研判後決定事件等級,之後依據事件等級啟動對應之程序,包含緊急聯絡、客戶通知、事件鑑識、證據保全、法務與公關處理、上櫃公司重大訊息發布等作業。
如果發生重大資安事件、重大疫病感染、天災等而導致本公司服務中斷或有中斷疑慮時,則依本公司之「服務中斷回復程序」啟動應變組織,包含委外服務搶修小組、SOC服務搶修小組、技術支援小組等,依程序進行必要的系統回復、服務回復、溝通、公關等作業。
資訊安全暨個資保護專責單位:本公司資安長
本公司已參與宏碁集團共同投保之資安保險。
114年度資訊安全相關會議:
- 03月13日「資訊安全推動及業務永續運作小組」會議
- 03月13日「資訊安全與隱私管理委員會暨管理審查」會議
- 每個月定期召開「資訊安全策略會議」
113年度資訊安全相關會議:
- 03月11日「資訊安全暨個資保護委員會」會議
- 12月10日「資訊安全暨個資保護委員會」會議
- 12月12日「資訊安全推動及業務永續運作小組」會議
- 每個月定期召開「資訊安全策略會議」
113年度資訊安全相關教育訓練:
- 07月26日「資訊安全與隱私教育訓練」訓練,課程1小時,共計609人次
- 10月21日「個人資料保護法」訓練,課程1小時,共計631人次
- 12月23日「資訊安全與隱私管理教育訓練(主管篇)」訓練,課程1小時,共計85人次