一、資通安全組織、政策及管理機制

本公司設立資安專責單位「資訊安全技術部」,並設置資安專責主管及資安專責人員,定期舉行資安風險會議。主要透過『資安評估』、『資安管理』、『資安防護』及『資安訓練』四大構面,結合美國國家標準技術研究院推出的資安框架(NIST CSF)檢視資訊架構,搭配Cyber Defense Matrix可視化進行覆核,並予以進行資通安全風險控管,且為確保所面臨之風險得以控管,已訂定風險管理程序之管理辦法,以明訂風險管理執行方式,確保公司、顧問、供應商資訊的安全,檢視營運過程中可能產生對組織資安目標的各項風險及其影響,並持續強化資訊安全作業。

除上述說明外,本公司定期進行員工資訊安全訓練,如:資安攻擊事件探討、社交工程手法介紹、內部規範宣導、資安風險意識提升等相關訓練,用以提升員工對於資訊安全的認知並遵守資訊安全相關規定,以完善整體資訊安全的防護鏈。定期針對資訊系統執行資訊安全相關偵防作業,並針對資安事故制定相關通報流程與管理辦法,且定期宣導員工資訊安全知識與恪遵資訊安全規範之重要性。另定期舉行資安管理審查會議,檢討資安防護現況並指定專責人員進行資安文件管理與頒定。

本公司資訊安全政策為「維護公司資訊之機密性、完整性、可用性與適法性,避免發生人為疏失、蓄意破壞與自然災害時,遭致資訊與資產遭致不當利用、洩漏、竄改、毀損、消失等,影響本公司作業,並導致公司權益受害」。為建立資安聯防體系以強化資安防護能量,本公司已加入台灣CERT/CSIRT聯盟會員,提升資訊安全事件之應變能力,保護公司與客戶之資產安全。

二、資安風險與因應措施

為加強保障本公司之會員、消費者與相關配合單位之資訊安全防護,特與外部專業資安團隊合作(經行政院國家資通安全會報技術服務中心評鑑為特優之廠商),定期舉行資安檢測與演練,以確保其相關權益不受威脅,維護本公司商譽與企業形象。

因應駭客攻擊手法日趨複雜,本公司採行資安縱深防禦措施與策略,透過網站應用程式防火牆、入侵偵測防禦系統、惡意郵件偵測阻擋、網頁過濾防護、防毒軟體、端點偵測及回應系統,強化各資訊環境網路、主機及端點防護能力。透過委外SOC監控擴大防護能量,7x24小時防禦性監看核心系統的主機、網路設備與資安設備相關日誌,並落實資安通報應變機制。透過外部資安情資平台與各項資安服務,掌握國內外資安最新趨勢,持續優化降低資安攻擊,才能確保無高風險資安事件發生。