本公司於民國113年成立「資通安全及個人資料保護管理委員會」,負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。由總經理擔任督導暨資訊安全長,公司內各單位(包含營業、財務、會計、採購、物流、行銷、顧服、法務、人資、資訊等)主管均為委員會成員。
資通安全及個人資料保護管理委員會透過每年管理審查會議,審核資安風險分析結果及採取對應的防護措施與方策,確保資訊安全管理體系持續運作的適用性、適切性及有效性。每年至少會安排一次由資訊部最高主管向董事會彙報資安治理成效、資安相關議題及風險管控的方向,資通安全管理情形於2025年11月3日提報董事會。
適用範圍
資訊安全:綜合考量各項資訊作業之重要性及資訊災害,包含因人為疏失、蓄意或自然災害等風險,致相關資訊資產遭不當使用、洩漏、竄改、破壞等情事,依據影響及危害公司機關之資訊災難與資訊保密之災害程度,所擬定及採行之各項資 訊安全作業規範。
個人資料:本公司蒐集、處理及利用之自然人(含客戶)姓名、出生年月日、國民身分證統一編號、護照號碼、婚姻、家庭、教育、職業、病歷、醫療、健康檢 查、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

政策:
本公司已加入TWCERT(台灣電腦網路危機處理暨協調中心),並導入國際資訊安全管理架構(ISO 27001)的管理系統進行定期循環式檢核、查驗、追蹤,同時配合公司政策實行相關風險管理及資安治理,建立安全及可信賴之數位資訊環境,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂資訊安全政策,以供全體同仁共同遵循。
目標:
為強化個資隱私暨資訊安全管理,確保所屬個資資料暨資訊資產的機密性、完整性與可用性,及提高相關人員資訊安全意識,以提供本公司資訊服務持續運作之環境,並符合相關法規要求。
資通安全防護及控制措施
根據2024年資通安全風險評鑑結果、自身資通安全責任等級之應辦事項及資通系統之防護基準,進行相關資通安全防護及控制措施。
| 資通安全防護及控制措施概要 | |
|
資訊及資通系統之管理
|
存取控制與加密機制管理
|
|
作業與通訊安全管理-軟體
|
作業與通訊安全管理-硬體
|
|
系統獲取、開發及維護
|
定期維護
|
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。
落實機密資訊於儲存或傳輸時應進行加密。
取得ISO27001資訊安全系統、ISO27701隱私資訊管理系統驗證,每年定期驗證、三年重新驗證。
不定期社交工程演練,以提升資安意識,使資安的運作在高階主管與各部門的支持下,落實到每一位員工身上。
投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
政策:訂定公司資通安全維護計劃、個人資料檔案安全維護計畫,製造資安宣導影片或公告,傳達資安防護重要規定與注意事項。
認證:2025年4月通過ISO27001資訊安全認證及ISO27701隱私資訊管理系統驗證,其認證效期起訖日2025/04/15~2028/04/14。
114年度資通安全及個人資料保護管理委員會培訓情形:
|
時間
|
課程
|
人次
|
時數
|
|
114.06.19
|
勒索軟體威脅下,資安管理法適法性(含個人資料保護)
|
30
|
3
|
客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。