Investor Relations

信息安全管理

信息安全目的与范围

  • 对象:
    包括员工、客户、股东和供货商以及营运相关信息软硬件设备。
  • 范围:
    为确保本公司之信息安全,制定相关规章制度、技术数据管理准则等,并纳入管理运作体系,以保障员工、客户和供货商进行业务接洽时之隐私权保护及信息安全维护。

信息安全风险架构

  • 本公司总经理室召集成立跨事业部信息安全管理小组,总管理处信息部与行政管理部门负责主导及规划,各业务相关单位配合执行,已确认本公司信息安全管理运作之有效性。
  • 本公司总经理室规划负责制定信息安全作业办法及管理政策,并定期检讨修正。
  • 本公司总经理室除定期召开资安会议检讨外,每年至少一次向董事长报告执行情形,最近一次提董事会报告日期为2021年7月6日。

信息安全政策目标

  • 确保本公司营运业务持续运作及提供信息服务的稳定使用。
  • 确保本公司所保管的信息资产之机密性(Confidentiality)、完整性(Integrity)及可用性(Availability),并保障人员资料之隐私。
  • 导入ISO 27001信息安全管理系统,以建立追求合乎法规及国际标准的要求。

信息安全控制措施

  • 定期执行信息安全倡导作业,每年办理信息安全教育训练及社交工程演练,以强化员工资安意识。
  • 公司重要信息基础设施,如资通机房等均会设置门禁管制设施,并同时设置CCTV系统,以管制并记录人员的进出,确保相关信息基础设施的实体安全。
  • 公司机房设置有防火墙(Firewall)机制来阻隔外来的入侵,且电子商务环境使用之防火墙采用双层式防火墙架构,并每年抽检防火墙设定规则。
  • 员工信息账号、密码与权限应善尽保管与使用责任,并定期换置及设定密码复杂度需求。
  • 公司计算机皆已安装防病毒软件,且病毒特征每日更新,并禁止使用 未经授权及非法软件。
  • 员工上网、电子邮件及网络安全隔离皆有建立管制及过滤机制,并具备DDoS防范、主动威胁防御(IPS)、恶意网址过滤及进阶 持续性威胁攻击防御(APT)等功能,针对入侵攻击主动进行阻挡,以维护网络安全。
  • 为避免数据在非经许可的状态下被他人取得,公司重要文件与 数据均会以加密方式储存,相关计算机作业与文件访问权限都须经授权后方可进行。
  • 员工于外部办公时,需透过VPN机制来存取企业网络资源,并监控是否有异常行为。
  • 订有信息安全事件的响应及通报标准程序,针对不同信息安全 事件订定分级处理及应对措施,以避免损害扩大。
  • 全体人员应遵守法律规范与信息安全政策要求,主管人员应督导员工落实情况,并强化资安认知及法令观念。

2021年办理信息安全倡导执行情形:

  • 为提升全员资安意识,2021年度办理「在线信息安全教育训练」,共计6,194人次参加,总时数3,097小时。
  • 办理「AEO供应链安全」在线教育训练,共计3,630人次完成,受训时数1,815小时。
  • 为提升员工警觉意识,2021年度办理员工电子邮件社交工程演练,共计3,052人次参加,员工开启信件比率11.3%,而点击信件连结比率7.4%。