中文 EN

資通安全風險管理架構

本公司資訊安全管理單位為資訊部,由其定期檢視各項資訊安全防護措施及規章,並推動各項資訊安全工作,以確保本公司資訊安全管理運作之有效性。且本公司長期致力於落實資訊安全與個人資料保護控管,於2013年成立資料管理審查委員會,負責推動、協調督導本公司各項資料保護相關事宜,同時也委請第三方驗證單位定期對本公司進行資訊安全查核等相關事宜。


資通安全政策

為確保及維護整體資訊安全,建立安全及可信賴之資訊環境,防止資訊或資通系統遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性、完整性及可用性,本公司已於111年3月特制訂「資訊安全政策」,以作為本公司發展及強化資訊安全之基礎架構。

制訂資訊安全政策以保護本公司資訊資產(包括資訊、軟體、實體、書面文件、人員及服務等)的安全,公司所有同仁均有義務協助資訊安全的推動,使資訊安全機制能順利推動與執行,並達成以下目標:

1.經營面:防範資訊安全風險之威脅發生,減輕資訊安全事件之發生影響。

2.保密面:確保資料機密不洩露,避免不當使用及存取。

3.系統面:提高資訊設備及系統之可用性,確保資訊系統正常運作。

4.意識面:讓全體員工了解於資訊安全制度上應該遵守之責任及義務。


具體管理方案

1.制定資安管理措施:

本公司資訊安全管理措施,應至少包含電腦軟體使用管理、網路防火牆管理、資訊硬體設備管理、電腦資訊備份管理、緊急復原管理、網站管理、個人資料保護機制、系統帳號密碼權限安全規範、人員離職帳號處理程序、員工保密協議、委外安全管理程序等。

2.提升資安方面技術:

本公司在資訊安全防護上,應加強軟體與硬體方面多層次防護,其中包含帳號複雜性與密碼驗證、主機與用戶端防毒、上網行為管理、惡意網站防護、防火牆阻擋、主機資料備份、存取安全管理、網路IP管理、個人資料遮罩機制等。

3.資安之推廣與改善:

(1)本公司資訊安全管理單位為資訊部,由其定期檢視各項資訊安全防護措施及規章,並推動各項資訊安全工作,以確保本公司資訊安全管理運作之有效性。

(2)本公司應定期舉行資安宣導與教育訓練,加強內部人員資安知識與專業技能。

4.資安通報管道:

本公司同仁若發現資訊安全事件之發生應向資訊部通報,以確保資訊安全事件發生時,皆能被及時的溝通與處理。

5.資訊安全稽核:

每年定期舉行資訊安全稽核,以避免違反法規、公司制度、合約義務與安全需求等。


投入資通安全管理之資源

為實現上述資通安全管理方案,投入之資源如下:

1.網路硬體設備:防火牆、監控管設備、儲存備份空間、集線器、上網行為分析、入侵防禦設備等。

2.軟體系統:防毒軟體、端點防護系統、備份管理系統、加密軟體等。

3.投入人力:系統狀態檢查、定期備份、異地存放、教育訓練、資安宣導、災後復原測試、資訊循環稽核、會計師稽核等。


導入資訊安全管理系統標準

本公司長期致力於落實資訊安全,於2013年即委請第三方驗證單位定期對本公司進行資訊安全查核等相關事宜,且於2017年通過台灣檢驗科技股份有限公司國際驗證,取得 BS 10012 PIMS 個人資訊管理系統 安全驗證,並每年定期維護及持續取得認證以維持證書有效性,以確保客戶的資料在多層的資訊安全控制下,做到最高規格的防護。

本公司採用最佳的科技來保障客戶的個人資料安全,目前以 Secure Sockets Layer (SSL) 機制 (256Bit) 進行資料傳輸加密,並以加裝防火牆防止不法入侵,避免客戶的個人資料遭到非法存取,且與網路服務廠商合作,達到擴大網路資源,進而有效防止 Distributed Denial-Of-Service attack (分散式阻斷服務攻擊),並提供 Content Distribution Network (內容傳遞網路) 能夠更快更可靠及更有效率的將服務內容傳遞給使用者。為了提供更適合客戶需要的服務,我們使用 Cookie的技術,接收並且記錄客戶瀏覽器上的伺服器數值,包括 IP Address、Cookies,以進行提供與產品更新及網路服務優化有關的工作時使用。為提升網路安全,於2014年起陸續將網站改為 HTTPS 透過加密的傳輸協定,保護交易資料的隱私。於本公司成立以來,從未接獲可能影響個資安全事件,足代表本公司資訊安全政策制定及落實情形之重視。