Investor Relations

資訊安全管理

資訊安全目的與範圍

  • 對象:
    包括員工、客戶、股東和供應商以及營運相關資訊軟硬體設備。
  • 範圍:
    為確保本公司之資訊安全,制定相關規章制度、技術資料管理準則等,並納入管理運作體系,以保障員工、客戶和供應商進行業務接洽時之隱私權保護及資訊安全維護。

資訊安全風險架構

  • 本公司總經理室召集成立跨事業部資訊安全管理小組,總管理處資訊部與行政管理部門負責主導及規劃,各業務相關單位配合執行,已確認本公司資訊安全管理運作之有效性。
  • 本公司總經理室規劃負責制定資訊安全作業辦法及管理政策,並定期檢討修正。
  • 本公司總經理室除定期召開資安會議檢討外,每年至少一次向董事長報告執行情形,最近一次提董事會報告日期為2021年7月6日。

資訊安全政策目標

  • 確保本公司營運業務持續運作及提供資訊服務的穩定使用。
  • 確保本公司所保管的資訊資產之機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),並保障人員資料之隱私。
  • 導入ISO 27001資訊安全管理系統,以建立追求合乎法規及國際標準的要求。

資訊安全控制措施

  • 定期執行資訊安全宣導作業,每年辦理資訊安全教育訓練及社交工程演練,以強化員工資安意識。
  • 公司重要資訊基礎設施,如資通機房等均會設置門禁管制設施,並同時設置CCTV系統,以管制並記錄人員的進出,確保相關資訊基礎設施的實體安全。
  • 公司機房設置有防火牆(Firewall)機制來阻隔外來的入侵,且電子商務環境使用之防火牆採用雙層式防火牆架構,並每年抽檢防火牆設定規則。
  • 員工資訊帳號、密碼與權限應善盡保管與使用責任,並定期換置及設定密碼複雜度需求。
  • 公司電腦皆已安裝防毒軟體,且病毒碼每日更新,並禁止使用 未經授權及非法軟體。
  • 員工上網、電子郵件及網路安全隔離皆有建立管制及過濾機制,並具備DDoS防範、主動威脅防禦(IPS)、惡意網址過濾及進階 持續性威脅攻擊防禦(APT)等功能,針對入侵攻擊主動進行阻擋,以維護網路安全。
  • 為避免資料在非經許可的狀態下被他人取得,公司重要文件與 資料均會以加密方式儲存,相關電腦作業與文件存取權限都須經授權後方可進行。
  • 員工於外部辦公時,需透過VPN機制來存取企業網路資源,並監控是否有異常行為。
  • 訂有資訊安全事件的回應及通報標準程序,針對不同資訊安全 事件訂定分級處理及應對措施,以避免損害擴大。
  • 全體人員應遵守法律規範與資訊安全政策要求,主管人員應督導員工落實情況,並強化資安認知及法令觀念。

2021年辦理資訊安全宣導執行情形:

  • 為提升全員資安意識,2021年度辦理「線上資訊安全教育訓練」,共計6,194人次參加,總時數3,097小時。
  • 辦理「AEO供應鏈安全」線上教育訓練,共計3,630人次完成,受訓時數1,815小時。
  • 為提升員工警覺意識,2021年度辦理員工電子郵件社交工程演練,共計3,052人次參加,員工開啟信件比率11.3%,而點擊信件連結比率7.4%。