因資訊科技發展日新月異,整體經營環境變遷迅速,本公司除了業務朝多元化發展,亦加速數位轉型,提供客戶更完善便利的數據服務,然伴隨而來的便是資訊安全風險提升,故本公司建置「資安長(由副總經理或相當職務者兼任)」、「資通安全室」及「資訊安全暨個人資料保護管理委員會」,統籌推動資訊安全與個人資訊解決方案,維護資訊安全及個人資訊管理制度正常運作,並確保本公司核心資通系統達到機密性、完整性及可用性之目標,進而保障客戶的隱私權並降低安全上的風險。
為確保資訊安全與個人資訊管理系統有效運作,特設置二級制管理組織,計有:「資訊安全暨個人資料保護管理委員會」、「資訊安全推動小組」及「個人資料保護推動小組」,分別由總經理、副經總理(或相當職務者)及法遵長擔任召集人。組織除訂定資訊安全政策及個人資料保護管理政策外,並透過定期召開管理審查會議,評估內外風險,採取適當管控措施,以符合風險可接受水準。
資通訊安全
資通訊安全管理組織
資安推動小組組織架構圖
個人資料保護管理推動小組組織圖
資安管理系統
此外,針對以本公司名義偽冒網站或行動應用程式進行詐騙情事,本公司亦即時通報台灣電腦網路危機處理暨協調中心(TWCERT/CC)及金融資安資訊分享與分析中心(F-ISAC),以關閉偽冒網站或行動應用程式,且會同法務暨法令遵循室提出刑事告訴暨告發,同時於本公司全球資訊網最新消息公布通知民眾勿受騙上當。
依據「資通安全管理法」設置資安專責人員共計12人,每人至少具1張有效之資安專業證照,包括管理類15張,技術類5張,現共計有20張;並辦理資訊安全教育訓練,2023年資安專責人員每人均已接受15小時以上之資通安全專業課程訓練,一般同仁每人均已完成4小時(法規要求至少3小時)資通安全線上學習課程,課程內容包括「資訊安全認知宣導教育訓練」、「個資保護認知宣導與案例分享教育訓練」及課後測驗。
此外,針對資訊設備皆有安全管控措施,包括定期更新密碼、隨身碟僅開放讀取禁止寫入、控管電腦權限無法安裝軟體等,並定期辦理社交工程演練,透過寄發網路釣魚郵件,提升同仁對於資訊安全防護的觀念。
2023年已辦理4次社交工程演練,受測人數為本公司全體員工,各發10封測試電子郵件,合格率為99.28%,並針對未通過之同仁加強資安教育訓練。
此外,針對資訊設備皆有安全管控措施,包括定期更新密碼、隨身碟僅開放讀取禁止寫入、控管電腦權限無法安裝軟體等,並定期辦理社交工程演練,透過寄發網路釣魚郵件,提升同仁對於資訊安全防護的觀念。
2023年已辦理4次社交工程演練,受測人數為本公司全體員工,各發10封測試電子郵件,合格率為99.28%,並針對未通過之同仁加強資安教育訓練。
數位資訊安全獎-優質獎
積極捍衛客戶隱私
為保障客戶資料當事人權利,導入並通過個人資訊管理系統(BS 10012)及國際標準隱私資訊管理系統(ISO 27701)第三方BSI驗證,持續維持證書有效性,以降低個人資訊侵害衝擊及風險;管理量測指標共計8項,2023年相關指標均已達成既定目標,且無發生客戶資料洩露、失竊或遺失等情事。
本公司為確保資訊安全,建置多項資安設備及防範措施,例如:防火牆、採用SSLVPN連線、入侵防護系統、每季辦理弱點掃描、每年辦理滲透測試,以降低駭客入侵風險;安裝防毒軟體以避免感染電腦病毒;辦理社交工程演練以增加員工資安風險意識;設置資安監控中心(SOC),針對網路環境、資安設備及網頁安全檢測等進行全天候即時監控,並透過監控資訊,分析潛藏資安威脅,提供即時資安事件通報,有效掌握資安情勢。
除制定嚴密的管理機制和措施,亦針對各業務性質訂定相關規則與積極作為,每年配合各處室業務推廣派員擔任資訊安全教育訓練講師,加強員工保護客戶隱私觀念與知識,並於本公司網站(如全球資訊網、i郵購、郵政購物中心)上公告「隱私權保護政策」、「隱私權宣告」說明網站如何蒐集、處理、利用及保護個人資訊,確實遵守個人資料保護相關法令。
本公司為確保資訊安全,建置多項資安設備及防範措施,例如:防火牆、採用SSLVPN連線、入侵防護系統、每季辦理弱點掃描、每年辦理滲透測試,以降低駭客入侵風險;安裝防毒軟體以避免感染電腦病毒;辦理社交工程演練以增加員工資安風險意識;設置資安監控中心(SOC),針對網路環境、資安設備及網頁安全檢測等進行全天候即時監控,並透過監控資訊,分析潛藏資安威脅,提供即時資安事件通報,有效掌握資安情勢。
除制定嚴密的管理機制和措施,亦針對各業務性質訂定相關規則與積極作為,每年配合各處室業務推廣派員擔任資訊安全教育訓練講師,加強員工保護客戶隱私觀念與知識,並於本公司網站(如全球資訊網、i郵購、郵政購物中心)上公告「隱私權保護政策」、「隱私權宣告」說明網站如何蒐集、處理、利用及保護個人資訊,確實遵守個人資料保護相關法令。
