快速連結
資訊安全與個資保護
為有效推動資訊安全工作,爰依據本公司「資訊安全政策辦法」設置「資訊安全委員會」,負責掌理公司資訊安全推動及治理、資安風險監督管理及重大資安事件呈報等事項。該委員會每年至少召開會議一次,並得視需要隨時召開會議,重大決議會向董事會報告。
資訊安全政策
為強化資訊安全管理,建立安全及可信賴之資訊作業環境,確保資料、系統、設備及網路安全, 考量相關業務發展及需求,訂有「資訊安全政策」,並依政策所述相關事項訂定「資訊安全管理要點」及其他管理規範及建立控制制度,相關政策內容可參閱官網之公司治理重要公司章程。 (http://www.chaileaseholding.com/ugc_chapter.asp)
組織架構
本委員會職掌如下:
一、制定與審議公司資訊安全政策與發展策略。
二、審議公司資安架構及相關管理規範。
三、資訊安全意識提升及教育訓練計劃之審議。
四、年度資訊安全投資計劃及預算審議。
五、督導資訊安全管理事務之推動執行。
六、其他資訊安全管理之事項。
管理方案
落實情形
本公司依據「公開發行公司建立內部控制制度處理準則」第 9 條規範訂有電腦化資訊系統相關作業之資訊循環及其他管理環境(含個資處理)等內部控制制度及相關作業規範。同時依處理準則第 13 條規範,每年將資通安全檢查列入年度稽核計畫之稽核項目。
- 作業單位內控制度作業自行評估風險、檢查
各作業單位每年年初依就相關資訊循環及個資處理內部控制項目風險大小及控制重點進行風險評估作業提交予稽核參考並提供改鎝建議,並於年底前進行依計劃進行單位自行評估作業檢查,並交予稽核進行覆核及呈報,確認內部控制作業之持續有效落實。 - 資通安全稽核檢查作業
由獨立的稽核單位每年依各單位內部控制自行評估結果及風險,擬定年度資訊安全稽核檢查計劃進行呈核、實地查核,並對於檢查結果進行呈報,若發現缺失或改善建議項,將進行列管並限期追踪改善。 - 辦理資訊安全教育訓練
各單位新進人員教育訓練,安排有專項資訊安全訓練課程,包括公司內部作業規範、相關法令、電腦犯罪及資訊安全通識。資訊單位每年訂有教育訓練計劃,安排人員參與外部研習課程,並通過相關專業考試。此外亦安排專業廠商進行資安方案介紹及個案研討
資訊處理流程圖
中租的資訊服務處理流程管理,從使用者端資訊服務需求到最後完成上線或問題需求解決,以資產管理為根本,建立需求管理、事件管理、問題管理、變更管理、需求單管理、上線管理、知識管理、可用性管理,輔以風險管理為導向,做好嚴格的把關。
資訊安全教育投入資源
隨著網路威脅增加及攻擊方式日漸複雜,衍生出許多企業資訊安全問題,政府及主管機關也愈見增加對企業應強化資訊安全風險管理之要求。然而威脅與攻擊的防範,除了運用科技工具以外;內部人員的資訊安全意識宣導與教育,更是資訊安全政策是否落實的一大關鍵成功因素。有鑑於此,新人到任時除了提供相關內部專業業知識傳授外,也同時要求必需完成相關的資訊安全教育訓練,以達到防範未然,整體完訓率為100%。已加入公司之員工亦已完成相關資安訓練要求,其覆蓋率為100%。
資訊安全管理措施
資訊單位提供閘道與端點防護功能,並有病毒程式隔離警訊,也透過網路流量管控與分析,進一步偵測外部可疑入侵行為。
每年進行四次的災難復原演練,其中包含兩次的異地環境系統復原演練,一次資訊單位復原演練及一次資訊單位與前後台同步異地復原演練。讓企業內部的系統與資料,能有最佳的保護措施,藉由合理的手段與方法,盡可能地縮短系統中斷的復原時間,並且降低營運中斷所造成的資料損失。2019年沒有因資訊設備問題遭受裁罰或遭受營運損失之事件。
個資保護
個人資料保護法新法施行前,本公司已具備維護個資之安全機制,包含制定「資料分級管理辦法」、「個人資料保護要點」、「資訊安全政策」、「資訊安全管理要點」等規範,明確制定個人資料之授權、使用、儲存、管理及銷毀等應遵循之保護程序,同時為展現高度重視客戶個人資料安全的堅持與承諾,並設立個人資料保護小組,確保落實個資法之執行。
中租控股非常重視客戶資訊安全及個人資料保護,藉由資訊人員依照個資安全保護與作業風險等級,進行必要系統之個資遮蔽作業。依據不同的業務範圍,設定同仁接觸資料權限。並實施usb儲存裝置封鎖管理,降低隨身碟usb管道資料外洩的風險,以利資料複製行為之管控與審查。客戶資料內部的傳遞也制定嚴格規範加強控管,並由內部稽核單位定期檢視,確保所有管控機制有效落實。
為確實保護客戶資料,一般同仁須接受個資保護與營業秘密法令遵循教育訓練,以供同仁學習參考,培養個資維護意識,落實資安及個資保護觀念於日常作業中。並要求員工務必善盡保密及保管責任,內部除嚴格實施管理規範,更逐步建置稽核軌跡與紀錄追蹤系統,並將個資安全之稽核檢查機制納入年度資安檢查與內部控制自行評估作業中,透過全面性與各構面的查核,提升同仁客戶資料保護及遵循法令意識與行為。
未來將持續透過優化電子郵件安全檢核機制、強化客戶資料保護機制、進化現有資安保全機制及設立專責資訊安全官四構面全面提升資安保護層級,建立安全及可信賴之作業環境。對於客戶資料之蒐集目的、使用方式及相關權益的行使,均於告知事項同意書或契約中載明,協助客戶充分了解雙方權利義務。
公司個資保護之專責人員依據公司相關規範適切處理與回覆,並制定及修改規範內容,同時加強內部政策宣導,且作成個案編撰、教學,透過作業流程的改善及內部規範的嚴格實施降低客戶訴怨發生機率。2019年,中國大陸子公司有1件違反資安事件,於離職前下載大量公司重要資料,違反公司內部規定情節重大,案件人員已追溯免職,同時宣導要求同仁應確實遵循公司各項紀律規範及工作規則之要求。