資訊安全管理政策資訊安全管理政策
和潤企業自1999年成立至今,以金融專業能力為根本,一方面以專業持續改善、創新的各項金融商品,以超越顧客期待。已累積近300萬筆顧客資料,為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統,特頒布資訊安全管理政策。本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資訊安全管理政策,以確保本公司所有員工資料、資通系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資通系統業務流程持續營運的目標。和潤企業自1999年成立至今,以金融專業能力為根本,一方面以專業持續改善、創新的各項金融商品,以超越顧客期待。已累積近300萬筆顧客資料,為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統,特頒布資訊安全管理政策。本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資訊安全管理政策,以確保本公司所有員工資料、資通系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資通系統業務流程持續營運的目標。
落實資訊安全,強化服務品質落實資訊安全,強化服務品質
由全體同仁貫徹執行ISMS,所有資通作業相關措施,應確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核「資訊安全管理制度(ISMS)」的工作,強化服務品質,提升服務水準。由全體同仁貫徹執行ISMS,所有資通作業相關措施,應確保業務資料之機密性、完整性及可用性,免於因外在之威脅或內部人員不當的管理,遭受洩密、破壞或遺失等風險,選擇適切的保護措施,將風險降至可接受程度持續進行監控、審查及稽核「資訊安全管理制度(ISMS)」的工作,強化服務品質,提升服務水準。
加強資安訓練,確保持續營運加強資安訓練,確保持續營運
防護系統並非萬能,鑒於駭客攻擊手法不斷更新,因此在資安意識的提升上,有下列作法:防護系統並非萬能,鑒於駭客攻擊手法不斷更新,因此在資安意識的提升上,有下列作法:
a. 透過多元化形式的教育訓練及溝通宣導,持續深化每位同仁的資安意識。例如:針對全體同仁,每年需接受資安教育訓練與測驗,以減少因不清楚資安規定,引發資安事件或外洩機敏資料。a. 透過多元化形式的教育訓練及溝通宣導,持續深化每位同仁的資安意識。例如:針對全體同仁,每年需接受資安教育訓練與測驗,以減少因不清楚資安規定,引發資安事件或外洩機敏資料。
b. 每年進行資安稽核,落實全體同仁資訊安全管理工作,建立「資訊安全、人人有責」的觀念,促使同仁瞭解資訊安全之重要性,促其遵守資訊安全規定,藉此提高資訊安全智能及緊急應變能力,降低資訊安全風險,達持續營運之目標。b. 每年進行資安稽核,落實全體同仁資訊安全管理工作,建立「資訊安全、人人有責」的觀念,促使同仁瞭解資訊安全之重要性,促其遵守資訊安全規定,藉此提高資訊安全智能及緊急應變能力,降低資訊安全風險,達持續營運之目標。
做好緊急應變,迅速災害復原做好緊急應變,迅速災害復原
訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資通系統失效或重大災害事件發生時能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。訂定重要資訊資產及關鍵性業務之緊急應變計畫及災害復原計畫,並定期執行各項緊急應變流程的演練,以確保資通系統失效或重大災害事件發生時能迅速復原,確保關鍵性業務持續運作,並將損失降至最低。
2022年資通安全投入資源2022年資通安全投入資源
- 政策制定討論會議: 16 次
- ISO 27001 認證:內稽 /外稽 各一次
- 資訊安全管理制度專屬教育訓練: 2次
- 人力配置: 資安專人2 人;其它協助人力:25人(資訊部門人員)
- 10/2 進行 「業務持續計畫/災害復原演練 」
- 2022年和潤企業同步提供三門課供同仁學習,共計有1,075人次完成個資法、智慧財產權與資訊安全教育訓練課程
ISO 27001資訊安全管理系統驗證 ISO 27001資訊安全管理系統驗證
於2022年12月27日取得 SGS ISO 27001資訊安全管理系統驗證證書,以實際行動展現和潤企業對資訊安全的重視與決心。 2023年和潤企業通過ISO27001複評作業。於2022年12月27日取得 SGS ISO 27001資訊安全管理系統驗證證書,以實際行動展現和潤企業對資訊安全的重視與決心。 2023年和潤企業通過ISO27001複評作業。
資訊安全管理行動資訊安全管理行動
近年企業遭受駭客攻擊、網路資通訊與產品的安全性受威脅事件頻傳,資訊安全問題,更為企業與公部門所重視,該如何控制並降低其風險、減少災害損失,成為企業管理焦點。 世界經濟論壇發表的「2022年全球風險報告」中,特別提及,2020年全球勒索軟體案件成長435%、而有95%的網路安全事件可歸因於人為失誤。當網路犯罪日益嚴重,對企業造成的損失更不可計數。而報告中更提及,目前全球網路威脅的增長速度,遠高於人們的預防及管理能力。 和潤因應資訊安全,由資訊部為主要權責單位,規劃和潤資訊安全工程,並訂有資訊安全管 理辦法政策與電腦化資訊系統控制作業,以確保資訊的機密性、完整性與可用性,保護公司資訊資產免遭不當使用、洩露等情事,確保資訊蒐集、處理、傳送、儲存流通之安全。近年企業遭受駭客攻擊、網路資通訊與產品的安全性受威脅事件頻傳,資訊安全問題,更為企業與公部門所重視,該如何控制並降低其風險、減少災害損失,成為企業管理焦點。 世界經濟論壇發表的「2022年全球風險報告」中,特別提及,2020年全球勒索軟體案件成長435%、而有95%的網路安全事件可歸因於人為失誤。當網路犯罪日益嚴重,對企業造成的損失更不可計數。而報告中更提及,目前全球網路威脅的增長速度,遠高於人們的預防及管理能力。 和潤因應資訊安全,由資訊部為主要權責單位,規劃和潤資訊安全工程,並訂有資訊安全管 理辦法政策與電腦化資訊系統控制作業,以確保資訊的機密性、完整性與可用性,保護公司資訊資產免遭不當使用、洩露等情事,確保資訊蒐集、處理、傳送、儲存流通之安全。
資安事件通報流程資安事件通報流程
資安專責主管:資訊部 陳經理 資安專責人員:資訊部 謝副課長 資安專責主管:資訊部 陳經理 資安專責人員:資訊部 謝副課長
| 近三年資安違反情況說明 | 2021年 | 2022年 | 2023年 |
| 重大資訊安全事件數 | 0 | 0 | 0 |
| 涉及客戶隱私之違規事件數 | 0 | 0 | 0 |
| 因資訊洩漏致受影響的客戶數量 | 0 | 0 | 0 |
| 因資訊安全事件而支付的罰款/罰金總額 | 0 | 0 | 0 |
定期檢視資安弱點定期檢視資安弱點
為加深和潤企業所有系統與資訊安全的強度與廣度,仍需委由公正客觀的第三方機構徹底檢視。因此和潤企業亦委託資訊安全顧問公司,執行弱點掃描工作,全面評估資訊系統弱點所在,以及整體的資安風險等級,2023年於共執行3次弱點掃描。藉由第三方單位的掃描報告,提供給和潤企業更明確的弱點修正建議,並進行複次掃描以確保重大弱點皆已完全修正。為加深和潤企業所有系統與資訊安全的強度與廣度,仍需委由公正客觀的第三方機構徹底檢視。因此和潤企業亦委託資訊安全顧問公司,執行弱點掃描工作,全面評估資訊系統弱點所在,以及整體的資安風險等級,2023年於共執行3次弱點掃描。藉由第三方單位的掃描報告,提供給和潤企業更明確的弱點修正建議,並進行複次掃描以確保重大弱點皆已完全修正。
內部資訊安全查核內部資訊安全查核
由於資訊安全系統如人體血管,遍佈深入企業各角落,因此為確保整體資訊系統與作業能如常安全運作,和潤企業每月、每年皆由資訊部主導發動,安排定期的內部查核作業,全集團上下皆須配合。 查核機制與作業方式層級不同,每月查核為資訊部排定輪值表,針對系統機制與需求上線後查核作業與資訊安全風險,確保機制能正常運作,並且確保新需求上線後,是否系統開發功能有符合需求規劃內容。 每年查核則依據同仁會做的「個人電腦資安檢核表」進行自我檢核表的回饋,規劃不同的查核主題,資訊部會指派專人,抽檢集團內10~20%個人電腦,稽核後統計各部門缺失比例,並撰寫該年度資訊安全稽核報告及相關改善措施。由於資訊安全系統如人體血管,遍佈深入企業各角落,因此為確保整體資訊系統與作業能如常安全運作,和潤企業每月、每年皆由資訊部主導發動,安排定期的內部查核作業,全集團上下皆須配合。 查核機制與作業方式層級不同,每月查核為資訊部排定輪值表,針對系統機制與需求上線後查核作業與資訊安全風險,確保機制能正常運作,並且確保新需求上線後,是否系統開發功能有符合需求規劃內容。 每年查核則依據同仁會做的「個人電腦資安檢核表」進行自我檢核表的回饋,規劃不同的查核主題,資訊部會指派專人,抽檢集團內10~20%個人電腦,稽核後統計各部門缺失比例,並撰寫該年度資訊安全稽核報告及相關改善措施。
定期風險評鑑作業定期風險評鑑作業
和潤企業根據ISMS 制度中的ISO 27001資訊安全風險管理流程,定期檢視公司資訊資產風險,並制定資訊資產風險處理計畫,針對3項「高」風險等級之風險進行檢討與改善。和潤企業根據ISMS 制度中的ISO 27001資訊安全風險管理流程,定期檢視公司資訊資產風險,並制定資訊資產風險處理計畫,針對3項「高」風險等級之風險進行檢討與改善。
2023年經外部查核未發現重大影響財務報導資安缺失。2023年經外部查核未發現重大影響財務報導資安缺失。
資訊資產評鑑結果與風險處理計畫資訊資產評鑑結果與風險處理計畫
2023年針對171項資訊資產進行風險評鑑,共評鑑出_183項弱點與對應之威脅,其風險等級「高」有1項、「中」有43項、「普」有139項。 針對 3 項不可接受之風險項目,包括兩種「防火牆」、「伺服器」等 3 項資訊資產之風險處理計畫: ● 防火牆:因無法有效識別帳號與使用者之關聯,有高脆弱度的「共用帳號問題」問題,擬重新盤點帳號,並落實單一帳號各別授權使用,以期解決共用帳號問題發生之風險。 ● 伺服器:因設備已運行多年,有高脆弱度的「系統資源不足」,繼續使用有高度風險,擬購置新設備,擴充系統資源,以其降低系統資源不足問題發生的風險。2023年針對171項資訊資產進行風險評鑑,共評鑑出_183項弱點與對應之威脅,其風險等級「高」有1項、「中」有43項、「普」有139項。 針對 3 項不可接受之風險項目,包括兩種「防火牆」、「伺服器」等 3 項資訊資產之風險處理計畫: ● 防火牆:因無法有效識別帳號與使用者之關聯,有高脆弱度的「共用帳號問題」問題,擬重新盤點帳號,並落實單一帳號各別授權使用,以期解決共用帳號問題發生之風險。 ● 伺服器:因設備已運行多年,有高脆弱度的「系統資源不足」,繼續使用有高度風險,擬購置新設備,擴充系統資源,以其降低系統資源不足問題發生的風險。
提升全員資安意識提升全員資安意識
和潤企業也將個人資料保護課程及資訊安全課程列為員工必修課,透過課程內容再次加強員工對於資訊安全的重視,如有同仁未能在時間內完成,將會列入年度考績評估之中。課程內容紮實,從相關個資法的立法宗旨與背景做闡述,再到個人資料財產的定義、數位個資資料庫與網路隱私的內容蒐集、處理、利用與安全維護等等,都在課程中有明確定義與教授,在教學過程中也提供相關教材,並安排有課後練習,讓同仁能夠透過實際題目記憶課程內容,確保其相關成效。 伴隨著個資安全議題,智慧財產權、資訊安全也與之相關,相關法律條文與行為規範,也需重新梳理與學習,因此2023年和潤企業同步提供三門課供同仁學習,共計有3,271人次完成個資法、智慧財產權與資訊安全教育訓練課程。和潤企業也將個人資料保護課程及資訊安全課程列為員工必修課,透過課程內容再次加強員工對於資訊安全的重視,如有同仁未能在時間內完成,將會列入年度考績評估之中。課程內容紮實,從相關個資法的立法宗旨與背景做闡述,再到個人資料財產的定義、數位個資資料庫與網路隱私的內容蒐集、處理、利用與安全維護等等,都在課程中有明確定義與教授,在教學過程中也提供相關教材,並安排有課後練習,讓同仁能夠透過實際題目記憶課程內容,確保其相關成效。 伴隨著個資安全議題,智慧財產權、資訊安全也與之相關,相關法律條文與行為規範,也需重新梳理與學習,因此2023年和潤企業同步提供三門課供同仁學習,共計有3,271人次完成個資法、智慧財產權與資訊安全教育訓練課程。