一、資訊安全政策及管理機制

本公司主要透過『資安評估』、『資安管理』、『資安防護』及『資安訓練』四大構面,結合國際資訊安全框架建構資訊安全防護, 並予以進行資安風險控管,且為確保所面臨之風險得以控管,已訂定風險管理程序之管理辦法,以明訂風險管理執行方式, 業已於108年5月13日向董事會報告。

本公司已實施資訊安全管理系統(ISMS),確保公司、顧問、供應商資訊的安全,並取得ISO27001:2013之資訊安全認證證書, 每年定期經審查資訊安全認證之有效性,且每年執行資訊作業風險評鑑程序,檢視營運過程中可能產生對組織資安目標的各項風險及其影響, 並依循下圖框架持續強化資訊安全作業。

資安防禦架構示意圖

除上述說明外,本公司定期進行員工資訊安全訓練,如:資安攻擊事件探討,資安風險意識提升等,相關訓練, 用以提升員工對於資訊安全的認知並遵守資訊安全相關規定,以完善整體資訊安全的防護鏈,並定期針對資訊系統執行資訊安全相關偵防作業, 並針對資安事故制定相關通報流程與管理辦法,且定期宣導員工資訊安全知識與恪遵資訊安全規範之重要性。 另定期舉行資安管理審查會議,檢討資安防護現況並指定專責人員進行資安文件管理與頒定。

二、資安事件通報流程

為加強保障本公司之會員、消費者與相關配合單位之資訊安全防護,特與外部專業資安團隊合作(經行政院國家資通安全會報技術服務中心評鑑為特優之廠商), 定期舉行資安偵防與演練,以確保其相關權益不受威脅,維護本公司商譽與企業形象。