資通安全
一、資通安全管理策略與政策:
確保公司營業秘密與依據政府個人資料保護法,持續對資通安全管理精進治理與強化防護能力,所有資訊作業遵行國際資安標準外,更要符合國、內外資訊安全法令規範。
(一)資通安全風險管理架構
資通安全治理制度,資訊安全一直是公司內部推動資訊化對等重要任務,110年經董事長核准成立資訊安全管理委員會,此委員會負責審視集團與各子公司資安治理政策,監督資安運作情況,並定期向董事會報告資安治理稽核狀況,總經理室與資安全權責主管負責全集團資訊安全治理、規劃、監督推動執行,以建構出全方位的資安防衛能力及同仁良好的資訊安全意識。
(二)資通安全政策
1. 資通安全管理機制,資安策略主軸聚焦於資安治理、法令遵循及資訊科技運用三個面來進行,從內部資通安全管理辦法、並透過資訊科技主動通報資安風險事件,人員到組織全面提昇資安意識。
2. 資訊安全防護網,建構資安防護網與主動式資安通報,以確保防駭、防竊、防災與防毒。主要防護包括:電腦病毒、駭客入侵、資訊洩密、資料遺失與主機異常。
3.車王電子訂定「資通安全管理」與「重大意外事故系統復原」辦法,明訂公司資訊安全管制程序與規範,車王電子對所有同仁實施資訊安全之宣導及訓練,以強化同仁對資訊安全分級與處理程序的認知與能力,並以系統化工具建立資安主動防護與警示能力,設置異地備援以確保資訊作業安全,每年演練不同系統緊急回存驗證,以實證重大意外系統復原能力,若有同仁違反資訊安全管制規定,會進行調查並給予不同懲處,特定情況下亦採取相關法律行動。
4.具體管理方案:
為落實《資訊安全政策》,我們已建立全面主動式、資料全通道管制與異常通報資安管制,確保資訊不會被任意攜出。此外,車王電子以機房設備、網路管理管理、防毒防護、資訊權限等四大面向發展相關具體管理方案,妥善維護客戶資料及資訊安全。
|
方案 |
內容 |
|
機房設備 |
|
|
網路管理 |
|
|
病毒防護 |
|
|
資訊權限 |
|
5.投入資通安全管理之資源:
2024年資安項投入費用與過往4年比較如下:
在持續提升員工資安素養,不定期發送資安守則提醒員工謹守資訊安全,定期對員工進行資訊安全教育及訓練,促使員工瞭解資訊安全的重要性,各種可能的安全風險,以提高員工資訊安全意識,促其遵守資訊安全規定。
2024年資安內部訓練時數與過往4年比較如下:
二、資通安全風險與因應措施:
(一)集團資訊安全工作上四個工作流程
計劃(資安架構規劃及建構)、執行(日常營運)
資訊權限申請、資訊問題反應與資訊放行權限,檢核與稽核,異常回報與防止再發機制。
(二)資通安全政策依Cyber Defense Matrix (CDM) :
搭配資安框架改善資安弱點,資安策略成效以真實威脅調整,定期檢討及評估各項軟、硬設備的安全性,以確保其符合機關訂定的安全標準,評估對象應包括作業系統之評估,以確保系統軟體及硬體的安全措施,正確及有效地執行。
(三)確保資訊安全可靠度:
1.資訊安全檢測:2024 年委由第三方進行滲透, 弱點偵測與社交工程演練等資安測試, 取得初測報告, 與修補之後進行複測報告;相關測試報告並呈公司資訊安全委員會核備,以補足傳統滲透測試忽略之邊界防禦, 2024年在社交工程進行至少2次社交工程演練,提升員工資安意識為提升員工的資安意識,有效測試員工面對釣魚郵件的警覺性。
2.提升資安管理: 依據臺灣證券交易所發布新版「上市上櫃公司資通安全管控指引」,公司已啟動導入 ISO27001符合國際標準風險管理架構,以系統化的方法來管理資訊安全風險,確保公司營業秘密與依據政府個人資料保護法,持續對資訊安全精進治理與強化防護能力。
三、重大資通安全事件:
最近年度及年報刊印日止(2024/12月底),並無重大資通安全事件,平常對於系統均即時做到異地儲存及強化本地備份機制。