資訊安全政策及管理方案

資訊安全

精誠為台灣資訊服務產業的指標廠商,重視消費者權利的保障,對於資訊服務的提供、建置、管理與維運等流程,依據產品與服務性質所衍生的作業方式與服務流程,逐一因地制宜的提供完善機制及申訴程序,藉此保障消費者的權益。例如:金融相關產品設有客服中心,產品與系統維護設有線上服務支援中心,提供客戶高品質的支援服務,更積極導入國際認證標準驗證,諸如IS0 9001品質管理系統認證、ISO 27001資訊安全管理系統認證、ISO 22301營運持續管理系統認證、BS 10012個人資訊管理系統認證。精誠提供的服務受「資安保密協定」規範,內部訂有「電子商務個人資料處理程序」控管,2020 年並未發生任何經證實違反客戶隱私之事件。

精誠通過經第三方獨立單位資安認證-ISO認證與PCIDSS驗證,包括資料管理整合服務事業部:ISO9000、ISO27001、ISO22301、BS10012;科技創新服務事業部(NOC):ISO27001;流通暨支付事業部:PCI DSS;大中南區事業部(MOC):ISO27001。持續強化資訊安全管理,確保資料、系統、設備、網路安全,並保障人員安全、法令遵循、客戶權益及個資保護等。

資安風險

面對資安風險,公司內部以資安暨個資危機處理小組負責資安風險,由資安Taskforce委員會提供集團資安管理的顧問諮詢、技術服務和資安教育訓練。資安暨個資危機處理小組除了綜理集團的資訊安全管理外,也支援已導入ISO 27001事業單位的資安暨個資事件處理。導入ISO 27001 的事業單位都已組成資訊安全管理委員會,建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案。

精誠在機敏的資訊服務上,每半年執行一次風險評估及相關檢討,並定期召開會議檢視是否發生資安事件,評估該事件對公司造成之影響與風險,提出具體改善計畫並持續追蹤改善情形。為持續強化資訊安全管理,同時掌握風險管理的有效性,集團子公司精誠軟體、精誠科技、奇唯科技於2020年取得ISO 27001資訊安全管理系統認證。

2020年延續往年的風險評估作業,並未發現高風險項目,針對中低風險項目則交由各單位進行處理,並列入後續的追蹤及回報作業。

「資安暨個資危機處理小組」處理緊急應變事件之職責

持續協助第一線進行數位鑑識,包含現場數位證據之保全、擷取驗證、檢查分析及鑑識分析等。

  • 協助第一線單位於最短時間內完成數位證據之蒐證
  • 調查評估個資侵害事件範圍及其嚴重程度
  • 判斷是否邀集外部顧問、數位鑑識專家協助處理
資安教育訓練

2020年安排154小時資安課程,269人次同仁參與。截至2020年底集團同仁取得共40張ISO 27001資訊安全管理系統主導稽核員證照。2020年針對全體同仁進行二次資安宣導教育訓練及測驗共6,191人次。

社交工程演練

關於社交工程演練,每年持續增進員工對郵件安全意識,2020年底規劃採用新型社交工程演練,於2021年初最後測試結果,整體參與測試帳號數共計 4,149個帳號,點擊率僅佔0.99%,測試結果符合「國家資通安全通報應變作業綱要」及「防範惡意電子郵件社交工程施行方案」規定,開啟惡意郵件合格率10%,點擊惡意郵件合格率為6%。

資安事件

2020年發生之資安事件,絕大部分在用戶瀏覽下載期間,已被用戶端防毒系統阻隔,無真實落地攻擊;或是在縱深防禦的安控機制下受到保護,未達到內部啟動資安危機處理機制之條件,也未達到法定通報主管機關之等級。在2020年未發生任何經證實違反資料洩漏之事件。