永續發展社會責任
資訊安全
1. 資訊安全政策與目標
本公司堅決致力於維護客戶和股東的資料隱私與安全。我們的資訊安全政策明確規定了我們對客戶資料的保護承諾。公司的資訊安全目標包括確保資料機密性、完整性和可用性,以及遵守適用的隱私法規與標準。並且公司設立了資安主管以及資安專責人員(共二人),負責相關政策督導與執行,截至2023年止,共開會八次。
2. 資訊資產分類與評估
我們積極進行資訊資產分類與評估,以確保對不同類別的資訊採取適當的保護措施。資訊的敏感性級別將影響其處理和儲存方式,並與業務流程緊密相關。
3. 資訊安全架構
我們的資訊安全架構包括網路安全、身份驗證、訪問控制、加密技術、安全監控、威脅檢測等關鍵組成部分。這些技術和措施為我們的資訊資產提供了全面的保護;我們於2022年4月25日取得ISO27001:2013證書,持續每年進行驗證確保證書有效性,也是實踐公司對資訊安全的重視。
4. 風險管理與合規性
我們積極進行風險管理,包括風險評估和風險應對計劃,以減輕潛在的資訊安全風險。我們確保公司遵守個資法等法規,同時積極監測合規性。
5. 員工教育訓練與認知度
本公司致力於員工教育訓練,使其了解資訊安全最佳實踐,每年進行至少二小時以上,2023年度總上課人數90人,受訓率為100%,教育訓練內容包括處理敏感資訊、密碼管理、防範社交工程攻擊等。員工也知道如何報告資訊安全問題。
6. 安全事件與事件應對
我們的安全事件應對計劃確保我們能夠快速檢測、報告和應對安全事件。我們采取措施以防範未來風險,並確保資料備份與恢復機制的有效性,並且規範了相關資安事件通報機制達到資訊公開透明,確保股東及關係人的權益;截至目前爲止本公司無發生重大資通安全事件。
7. 合作夥伴與供應商管理
與合作夥伴和供應商的關係管理是我們資訊安全策略的一部分,特別是涉及到資料分享與處理。我們定期進行第三方風險評估,確保資料受到保護。
8. 效能衡量與指標
我們使用各種效能衡量與指標來評估我們的資訊安全政策。這包括安全事件率、員工教育訓練參與率、安全漏洞修復時間等等。這些資料有助於我們持續改進我們的安全措施。
9. 資訊安全年度回顧
每年,我們進行一次資訊安全年度回顧,以檢視我們的安全政策與實踐,確保其仍然有效且符合最新標準。這是一個機會,以評估我們的安全架構的有效性。
10. 未來發展與趨勢
我們將繼續密切關注資訊安全領域的未來發展與趨勢,並隨時調整我們的策略以因應新的威脅和挑戰。我們也將積極參與相關的行業合規性倡議。