資訊安全與隱私保護管理
資訊安全與隱私保護管理的目標為建立重視資安的組織文化、提升資安治理能力與水準、落實供應鏈資訊安全管理、確保企業持續營運與資料安全。
本公司為因應各類資安威脅情事,於2018 年正式導入ISO 27001:2013 國際標準進行風險管理,透過ISO 標準及國內資通安全管控指引提升資訊安全治理綜效。為致力降低營運風險機率與影響,達到提升資安治理成熟度之目標。2019 年04 月成立「資訊安全推動委員會」,審視集團公司資訊安全管理政策,監督資安與隱私管理運作情形,以確保資訊安全及個資保護運作的有效性,並由「資訊安全推動委員會」指派之資安管理代表定期向董事會報告資安治理概況。為強調持續改進的重要性與追蹤保護措施的有效性,執行秘書定期與「資安與隱私保護委員會」報告執行成效。
2023 年為與董事會功能性委員會進行區別,經董事會報告後重新命名為「資安與隱私管理小組」。管理小組以下成立六個跨部門任務組別,用以落實公司資安治理與政策之執行,建構全方位的資安防護能力,讓資訊安全活動擴及集團內部各部門。2023 年召開4 次工作例會,並於年末在董事會報告,藉此不斷提高資訊安全管理績效,達到資安與時俱進的目的。
基於ISO/IEC 27001:2022 新版發行( 參考指引ISO/IEC 27002:2022 已於2022/02/15 轉換至新版),ISO/IEC 27001:2013 版本標準將於三年緩衝期到期後自動失效。且新版標準可以幫助組織更全面地管理資訊安全風險,更好地應對新興的威脅和挑戰,故2023 年下半年開始進行ISO/IEC 27001:2022 升版相關作業,並於2024 年4 月通過第三方驗證,5 月取得新版證書。