因資訊科技發展日新月異,整體經營環境變遷迅速,本公司除朝業務多元化發展,亦加速數位轉型,提供客戶更完善便利之數據服務,然伴隨而來的便是資訊安全風險提升,故本公司設置「資安長」(由副總經理或相當層級主管兼任)、「資通安全室」及「資訊安全暨個人資料保護管理委員會」,統籌推動資訊安全與個人資訊解決方案,維護資訊安全及個人資訊管理制度正常運作,並確保本公司核心資通系統達到機密性、完整性及可用性之目標,進而保障客戶隱私權並降低安全風險。
為確保資訊安全與個人資訊管理系統有效運作,特設置二級制管理組織,計有:「資訊安全暨個人資料保護管理委員會」、「資訊安全推動小組」及「個人資料保護推動小組」,分別由總經理、副經總理(或相當層級主管)及法遵長擔任召集人。組織除訂定資訊安全政策及個人資料保護管理政策外,並透過定期召開管理審查會議,評估內外風險,採取適當管控措施,以符合風險可接受水準。
資通訊安全
資訊安全暨個人資料保護管理委員會
純文字描述如下方所述:
資訊安全暨個人資料保護管理委員會
召集人:總經理
執行秘書:資通安全室主管
·議定全公司目標
· 審議及公布安全政策
·績效及風險評估
·督導重大事件應變處理
資訊安全推動小組
召集人:副總經理(或相當層級主管)
幹事:資通安全室指定人員
·資通安全推動事務決議
·資安管理體系之維運
·資安事件通報並依限完成應變復原
·定期陳報資訊安全執行情形
個人資料保護推動小組
召集人:法遵長
執行秘書:資通安全室相關主管
·個人資訊推動事務決議
·監督評核個資內評之執行成效
·執行與維護個人資料保護管理體
·定期陳報個人資料保護管理推動執行情形
資訊安全推動小組組織架構圖
純文字描述如下方所述:
召集人(資通安全室督導副總經理或相當層級主管)
幹事(資通安全室指定人員)
任務:
1.處理行政庶務事宜。
2.安排資安推動會議。
3.草擬資安推動會議討論
常任小組成員
資通安全室室主任及資訊處、儲匯處、壽險處、郵務處等處副處長、資訊處、資通安全室相關科科長擔任
任務:
1.資訊安全推動事務之提案、討論及表決。
2.所屬部門溝通與協調。
遴選小組成員
由召集人自相關處室、各等郵局遴選之,或由資訊處、儲匯處、壽險處、郵務處、資通安全室等處室遴選單位
任務:
1.資訊安全推動事務之提案、討論及表決。
2.所屬部門溝通與協調。
資安管理系統
為確保儲匯作業系統之資訊與資訊系統獲得適當保護,已取得國際標準資訊安全管理系統(ISO 27001)第三方英國標準協會(BSI)驗證,並於2024年7月通過新版驗證,以持續精進資安管理機制。2024年英國標準協會頒發「數位信任ESG推動獎」,以表揚本公司在數位化轉型與企業社會責任方面的長期努力與成果。儲匯作業系統資訊安全有效性量測指標共計44項,2024年量測週期內相關指標之統計結果,均已達成既定目標。
此外,針對以本公司名義偽冒網站或行動應用程式進行詐騙情事,本公司亦即時通報台灣電腦網路危機處理暨協調中心(TWCERT/CC)及金融資安資訊分享與分析中心(F-ISAC),以關閉偽冒網站或行動應用程式,且會同法務暨法令遵循室提出刑事告訴暨告發,同時於本公司全球資訊網最新消息公告,提醒民眾勿受騙上當。
此外,針對以本公司名義偽冒網站或行動應用程式進行詐騙情事,本公司亦即時通報台灣電腦網路危機處理暨協調中心(TWCERT/CC)及金融資安資訊分享與分析中心(F-ISAC),以關閉偽冒網站或行動應用程式,且會同法務暨法令遵循室提出刑事告訴暨告發,同時於本公司全球資訊網最新消息公告,提醒民眾勿受騙上當。
資安管理系統
純文字描述如下方所述:
資訊安全政策
隱私權保護政策
ISO 27701
隱私資訊管理系統
ISO 27001
資訊安全管理系統
BS 10012
個人資訊管理系統
依據「資通安全管理法」設置資安專責人員共計12人,每人至少具1張有效之資安專業證照,包括管理類16張,技術類5張,現共計21張;並辦理資訊安全教育訓練,2024年資安專責人員每人均已接受15小時以上之資通安全專業課程訓練,一般同仁每人均已完成4小時資通安全線上學習課程,課程內容包括「資訊安全認知宣導教育訓練」、「個資保護認知宣導與案例分享教育訓練」及課後測驗。
2024年加強員工個人資料保護相關教育訓練
純文字描述如下方所述:
課程名稱:個資清冊暨 BIF 教育訓練
課程時數:1小時
訓練人次:95
訓練時數:95
課程名稱:個人資料保護及資安實務
課程時數:2.5小時
訓練人次:137
訓練時數:342.5
課程名稱:個資保護認知宣導與案例分享
課程時數:1小時
訓練人次:24,796
訓練時數:24,796
課程名稱:資安暨個人資料保護宣導教育訓練
課程時數:2小時
訓練人次:586
訓練時數:1,172
課程名稱:資通安全及個人資料保護
課程時數:1小時
訓練人次:646
訓練時數:646
此外,針對資訊設備皆有安全管控措施,包括定期更新密碼、隨身碟僅開放讀取禁止寫入、控管電腦權限無法安裝軟體等,並定期辦理社交工程演練,透過寄發網路釣魚郵件,提升同仁資訊安全防護觀念。2024年已辦理4次社交工程演練,受測人數為本公司全體員工,每次演練各發10封測試電子郵件,合格率為98.24%,並針對未通過之同仁加強資安教育訓練。
積極捍衛客戶隱私
為保障客戶資料當事人權利,已通過個人資訊管理系統(BS 10012)及隱私資訊管理系統(ISO 27701)第三方BSI驗證,持續維持證書有效性,以降低個人資訊侵害衝擊及風險;管理量測指標共計8項,2024年相關指標均已達成既定目標,且無發生客戶資料洩露、失竊或遺失等情事。
本公司為確保資訊安全,建置多項資安設備及防範措施,例如:防火牆、採用SSLVPN連線、入侵防護系統、每季辦理弱點掃描、每年辦理滲透測試,以降低駭客入侵風險;安裝防毒軟體以避免感染電腦病毒;辦理社交工程演練以增加員工資安風險意識;設置資安監控中心(SOC),針對網路環境、資安設備及網頁安全檢測等進行全天候即時監控,並透過監控資訊,分析潛藏資安威脅,提供即時資安事件通報,有效掌握資安情勢。
除制定嚴密的管理機制和措施,亦針對各業務性質訂定相關規則與積極作為,每年配合各處室業務推廣派員擔任資訊安全教育訓練講師,加強員工保護客戶隱私觀念與知識,並於本公司網站(如全球資訊網、i郵購、郵政網購中心)上公告「隱私權保護政策」、「隱私權宣告」,說明網站如何蒐集、處理、利用及保護個人資訊,確實遵守個人資料保護相關法令。
本公司為確保資訊安全,建置多項資安設備及防範措施,例如:防火牆、採用SSLVPN連線、入侵防護系統、每季辦理弱點掃描、每年辦理滲透測試,以降低駭客入侵風險;安裝防毒軟體以避免感染電腦病毒;辦理社交工程演練以增加員工資安風險意識;設置資安監控中心(SOC),針對網路環境、資安設備及網頁安全檢測等進行全天候即時監控,並透過監控資訊,分析潛藏資安威脅,提供即時資安事件通報,有效掌握資安情勢。
除制定嚴密的管理機制和措施,亦針對各業務性質訂定相關規則與積極作為,每年配合各處室業務推廣派員擔任資訊安全教育訓練講師,加強員工保護客戶隱私觀念與知識,並於本公司網站(如全球資訊網、i郵購、郵政網購中心)上公告「隱私權保護政策」、「隱私權宣告」,說明網站如何蒐集、處理、利用及保護個人資訊,確實遵守個人資料保護相關法令。
