公司治理
資訊安全管理
資訊安全管理
公告日期:2024-04-10
為了使本公司ISMS(資訊安全管理系統)能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒布資通安全管理政策。
本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資通安全管理政策,以確保本公司所有職員、資料、資訊系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資訊持續營運的目標。
落實資通安全,強化服務品質
由全體同仁貫徹執行ISMS,所有資訊作業相關措施,應確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核資訊安全管理制度的工作,強化服務品質,提升服務水準。
加強資安訓練,降低資安風險
督導全體同仁落實資通安全管理工作,每年持續進行適當的資通安全教育訓練,建立「資通安全,人人有責」的觀念,促使同仁瞭解資通安全之重要性,促其遵守資通安全規定,藉此提高資通安全認知及緊急應變能力,降低資通安全風險。
做好緊急應變,確保營運持續
訂定重要資訊資產及關鍵性業務之業務緊急應變計畫及災害復原計畫,並定期執行各項關鍵業務流程的演練,以確保資訊系統失效或重大災害事件發生時,能迅速復原,確保關鍵性業務能持續運作,並將損失降至最低。
資訊安全管理組織編制與架構圖
資通安全長
- 主持管理審查會議對重大事項作出決定或仲裁。
- 審核實施矯正預防措施所需之資源,包括人力、時間及經費。
- 審核本公司資訊安全管理制度 (ISMS) 目標及實施範圍。
資通安全顧問
- 提供與資通安全管理與技術領域相關之指導與諮詢建議,確保本公司於維運資訊安全管理制度(ISMS)時,能獲得必要之協助與諮詢管道。
執行秘書
- 負責適用性聲明之擬定與傳達。
- 持續不斷的評估與檢討風險管理之具體成效。
- 負責對資通安全狀況進行預警、監控,並對資通安全狀況與事件進行處置。
資通安全
稽核小組
- 負責內部稽核人員之培訓。
- 負責制定內部稽核作業管理程序。
- 負責訂定及執行內部稽核計畫,協助進行外部驗證稽核作業。
資通安全
處理小組
- 資訊安全管理制度 (ISMS) 文件之版本管理。
- 監控、記錄與調查資通安全事件。
- 擬定及辦理資通安全教育訓練計畫與相關活動。
緊急處理小組
- 依【ISMS-P-014資通安全事件通報及應變管理程序書】辦理。
2024資通安全投入資源
- 政策制定討論會議:10次
- ISO 27001:2022版認證:內稽/外稽各一次
- 資訊安全管理制度專屬教育訓練:2次
- 人力配置:資安專人1人;其它協助人力:37人(資訊部門人員)
- 2024年共執行2次弱點掃描。藉由第三方單位的掃描報告,提供給和運租車更明確的資安改善指引及專業建議。
- 2024年和運租車共提供三門課予同仁學習,共計有860人次完成個資法、智慧財產權與資訊安全教育訓練課程。
ISO27001驗證書
和運租車於2024年08月06日取得艾法諾 ISO 27001:2022版資訊安全管理系統驗證證書,以實際行動展現和運租車對資訊安全的重視與決心。
2024年和運租車通過ISO27001初正評作業。
提升端點及身分帳號安全
面對後疫情時代,和運租車配合集團資安政策採「零信任思維」規劃電腦及系統架構,一致化公司電腦及帳號作業標準及流程,提升基礎架構防護控制力,與應用資安防護新功能,強化身份認證及使用資訊系統的安全,提升新常態辦公服務之安全。
基本防護
- 防毒軟體
- 安全性更新
進階防護
- 端點行為偵測
- USB管控
- 軟體安裝權限管控
零信任安全架構
- 身分驗證MFA
管理標準/自動化
- 裝機作業自動化
- 防毒/安全性更新
資訊安全管理行動
和運租車因應資訊安全,由資訊部為主要權責單位,規劃和運租車資訊安全工程,並訂有ISMS資通安全管理政策與電腦化資訊系統控制作業,以確保資訊的機密性、完整性與可用性,保護公司資訊資產免遭不當使用、洩露等情事,確保資訊蒐集、處理、傳送、儲存流通之安全。
資安事件通報流程
判斷是否為
重大資安事件
處理並回覆處理結果
事件啟動
- 通報執行秘書與資通安全長
- 成立緊急處理小組
- 記錄於ISMS-P-014-01資通安全事件通報單
問題異常處理
- 分析異常原因
- 尋找處理方式
- 執行異常處理對策
檢討與改善
- 事後追蹤與檢討
- 填寫ISMS-P-016-01 矯正及預防處理單降低事件再發生的可能性
- 資通安全事件通報窗口:資通安全處理小組
- 重大資安異常定義為第3級和第4級影響公司聲譽或影響公司正常業務資安事件
定期檢視資安弱點
為加深和運租車所有系統與資訊安全的強度與廣度,仍需委由公正客觀的第三方機構徹底檢視。因此和運租車亦委託資訊安全顧問公司,執行弱點掃描工作,全面評估資訊系統弱點所在,以及整體的資安風險等級,2024年於共執行2次弱點掃描。藉由第三方單位的掃描報告,提供給和運租車更明確的弱點修正建議,並進行複次掃描以確保重大弱點皆已完全修正。
近三年資安違反情況
| 2022 | 2023 | 2024 | |
|---|---|---|---|
| 重大資訊安全事件數 | 0 | 0 | 0 |
| 涉及客戶隱私之違規事件數 | 0 | 0 | 0 |
| 因資訊洩漏致受影響的客戶數量 | 0 | 0 | 0 |
| 因資訊安全事件而支付的罰款/罰金總額 | 0 | 0 | 0 |
投入資通安全管理與教育訓練之資源
國際認證
通過ISO27001 2022版,相關資安稽核無重大缺失。
教育訓練
和運租車也很重視同仁對於資安正確的觀念,因此每年投入多元課程教育訓練與宣導,加強每位同仁資安意識。
為確保新進員工入社後可立即接受資安教育,和運租車也將個人資料保護課程及資訊安全課程列為員工必修課。透過課程內容再次加強員工對於資訊安全的重視,內容以影片及動畫方式呈現工作情境、社交工程及常見駭客攻擊手法,並以測驗機制驗證新進員工的學習成果,減少因不清楚資安規定誤引發資安事件或外洩機敏資料。針對全體同仁每年除接受資安教育外,同時會定期收到資安電子報,藉由資安時事新聞與新知分享,宣導並傳達集團最新的資安規定及注意事項,讓員工深知資安風險及防護的重要性。伴隨著個資安全議題,智慧財產權、資訊安全也與之相關,相關法律條文與行為規範,也需重新梳理與學習,因此2024年和運租車同步提供三門課供同仁學習,共計有860人次完成個資法、智慧財產權與資訊安全教育訓練課程。
| 對象 | 課程內容 | 受訓人數 | 受訓時數 | 涵蓋率 |
|---|---|---|---|---|
| 一般同仁 | 和運【必修】和泰個資暨資安教育訓練 | 781人 | 1小時 | 100% |
| 和運【必修】生成式AI個資規範暨資安教育訓練 | ||||
| 和運【必修】智慧財產管理-著作權基礎篇 | ||||
| 新進同仁 | 和運【新人共同】和泰集團資安教育 | 79人 | 1小時 | 100% |