投資人關係 | 集雅社Gseven

集雅社百貨影音家電銷售領導品牌,家電規劃師提供電視、冰箱、冷氣空調、除濕機、清淨機、掃地機器人、電競螢幕、音響劇院、等全方位的智能家電規劃服務。

投資人關係

  2. 投資人關係
  3. 公司治理
  4. 資通安全管理制度

資通安全管理架構

​         

本公司於民國113年成立「資通安全及個人資料保護管理委員會」,負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。由總經理擔任督導暨資訊安全長,公司內各單位(包含營業、財務、會計、採購、物流、行銷、顧服、法務、人資、資訊等)主管均為委員會成員。
資通安全及個人資料保護管理委員會透過每年管理審查會議,審核資安風險分析結果及採取對應的防護措施與方策,確保資訊安全管理體系持續運作的適用性、適切性及有效性。每年至少會安排一次由資訊部最高主管向董事會彙報資安治理成效、資安相關議題及風險管控的方向,資通安全管理情形於2025年11月3日提報董事會。

 

資通安全政策及目標

政策:

本公司已加入TWCERT(台灣電腦網路危機處理暨協調中心),並導入國際資訊安全管理架構(ISO 27001)的管理系統進行定期循環式檢核、查驗、追蹤,同時配合公司政策實行相關風險管理及資安治理,建立安全及可信賴之數位資訊環境,防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),特制訂資訊安全政策,以供全體同仁共同遵循。

  1. 落實資訊安全管理系統(Information Security Management System, ISMS)執行。
  2. 落實個人資訊管理系統(Personal Information Management System, PIMS)執行。
  3. 有效管理資訊資產,持續執行風險評鑑,並採取適當之防護措施。
  4. 強化個人資料檔案資訊系統之存取安全,防止非法授權存取,保持資訊及資通系統的機密性及完整性。
  5. 禁止人員在社群網站、部落格、公開論壇或其他利用網際網路形式公開業務所知悉之個人資料。
  6. 處理接觸機敏資料人員,應克盡保密之責,並確認於離職時或合約終止時取消或停用其使用者識別帳號。
  7. 訂定核心資通系統之復原計畫,以確保核心業務可持續運作。
  8. 落實資通安全教育訓練及新進人員資安宣導,以提高員工之資通安全意識。
  9. 落實稽核執行及管理審查流程,以確保資訊安全管理系統之持續改善。

目標:為強化個資隱私暨資訊安全管理,確保所屬個資資料暨資訊資產的機密性、完整性與可用性,及提高相關人員資訊安全意識,以提供本公司資訊服務持續運作之環境,並符合相關法規要求。

 

資通安全防護及控制措施

根據2024年資通安全風險評鑑結果、自身資通安全責任等級之應辦事項及資通系統之防護基準,進行相關資通安全防護及控制措施。

資通安全防護及控制措施概要

資訊及資通系統之管理

  • 資訊及資通系統之保管
  • 資訊及資通系統之使用
  • 資訊及資通系統之刪除或汰除

存取控制與加密機制管理

  • 網路安全控管
  • 資通系統權限管理
  • 特權帳號之存取管理
  • 加密管理

作業與通訊安全管理-軟體

  • 防範惡意軟體之控制措施
  • 電子郵件安全管理
  • 資料備份
  • 即時通訊軟體之安全管理

作業與通訊安全管理-硬體

  • 遠距工作之安全措施
  • 確保實體與環境安全措施
  • 媒體防護措施
  • 電腦使用之安全管理
  • 行動設備之安全管理

系統獲取、開發及維護

  • 設計安全性要求
  • 執行安全性要求測試
  • 執行資通系統源碼安全措施

定期維護

  • 業務持續運作演練
  • 執行資通安全健診
  • 建置資通安全防護設備

 

管理方案

為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
1.提升資安防禦能力
   (1)定期進行資安健檢及弱點掃瞄,並加以補強與修護,以降低資安風險。
   (2)成立「資通安全及個人資料保護緊急應變小組」並加入TWCERT(台灣電腦網路危機處理暨協調中心),建立網路安全事件應變計畫,依事件嚴重度等級進行影響和損失評估,採取對應的通報及復原行動。
   (3)外部網路及內部區域網路間連線需經防火牆進行存取控制,非允許的服務與來源不能進入其他區域。
   (4)定期檢視防火牆政策是否適當,並適時進行防火牆軟、硬體之必要更新或升級。
2.精進資安管理程序
   (1)定期檢視資通系統權限
   (2)員工應遵守資安規定,定期進行個人資安檢測,並不斷地進行PDCA循環以持續改善。
   (3)落實機密資訊於儲存或傳輸時應進行加密。
3.法令遵循及導入國際資安認證標準
   取得ISO27001資訊安全系統、ISO27701隱私資訊管理系統驗證,每年定期驗證、三年重新驗證。
4.教育訓練
   (1)全體員工每人每年接受至少3小時的資安通識教育訓練。
   (2)資訊相關人員每人每年接受至少3小時的資通安全專業課程訓練或資通安全職能訓練。
   (3)資安專責人員每人每年接受至少12小時的資通安全專業課程訓練或資通安全職能訓練。
   (4)不定期社交工程演練,以提升資安意識,使資安的運作在高階主管與各部門的支持下,落實到每一位員工身上。
5.強化內部查核
   (1)成立「資通安全及個人資料保護內部稽核小組」,定期進行內部稽核,報告整體資安風險及因應措施的有效性及可持續改善之處。
   (2)實施日誌管理(log)、檔案完整性監測(FIM)、持續監控資訊服務之運作及風險狀況。
   (3)實施災難復原演練,藉由摸擬攻擊情境,量測資安管理及防禦機制的有效性。

 

投入資通安全管理之資源

資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
1.政策:訂定公司資通安全維護計劃、個人資料檔案安全維護計畫,製造資安宣導影片或公告,傳達資安防護重要規定與注意事項。
2.認證:2025年4月通過ISO27001資訊安全認證及ISO27701隱私資訊管理系統認證,相關資安稽核無重大缺失。
3.教育訓練:

  • 所有新進員工到職前皆完成資訊安全教育訓練課程。
  • 全體員工皆完成資訊安全教育訓練及考核。
  • 年度執行社交工程釣魚郵件測試。
  • 資安健檢、核心系統災難復原、全體員工社交工程演練皆已100%完成。

4.客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。