資訊安全管理
為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統及個人資料保護機制。和泰汽車於2007 年成立「資訊安全委員會」,作為集團資訊安全之最高指導單位,以貫徹資訊安全治理政策,明確宣示及落實維護資訊安全,並要求全體員工確實遵守,維護集團資訊安全。為了全方位保護顧客個資,和泰汽車「資訊安全委員會」於2024 年1 月更名為「資安暨個資委員會」,除由「資安事務局」為資安專責單位外,新設立「個資事務局」,專責事務局進行個資管理,持續推動個人資料保護政策,強化個資防護韌性及管理機制。
「資安暨個資委員會」透過定期每一年舉辦一次會議,由集團主任委員(即和泰汽車總經理)及委員們,審視本集團資安治理及個人資料保護政策,督導資安及個資管理體系運作情形。
委員會轄下之資安及個資業務推行專責事務局則透過定例會議,依據內外部環境需求及法令規定,評估資安及個資政策之適用範圍、完整性,適時進行政策調整,共同檢核全集團政策執行進度及結果,確保皆有符合本集團資訊及個資安全之要求,當有重大資安事件與個資侵害事件發生時,處理並呈報主任委員,以建構高標準防護能力。2023 年無資訊洩漏及違反個資法之情事。
資安暨個資委員會組織圖
資訊安全管理制度
為建立及維護集團安全及可信賴之資訊環境,確保資料、系統、設備及網路之穩定與安全,以達企業之永續經營,和泰汽車於2008 年協同旗下8 家經銷商,推動國際資訊安全管理標準ISO 27001 認證,成為臺灣汽車業界首家上、下游廠商均通過ISO 27001 認證的汽車經銷體系總代理及經銷商。為確保資安管理的有效性,持續以「計劃-實施-查核-行動」(PDCA,Plan-Do-Check-Act)循環不斷精進資安風險管理,事務局透過召開定期會議,針對新科技之導入或新資訊與通訊系統專案,評估可能之資訊安全衝擊,並藉由每年資訊安全風險評鑑作業,依據法令要求、近期內外部威脅情資等項目,評估對內部可能產生的資安風險並加以對策改善,以確保資安控管其有效性及適當性。從各項可能的威脅與弱點組合中,分析出可能面臨的風險並加以改善,持續管控將資安風險降到最低,以確保資訊的機密性(Con_dentiality)、完整性(Integrity)、可用性(Availability);同時檢討、處理並報告資訊安全及個資侵害事件與相關威脅,透過以上機制達到資訊服務風險評估及個人資料保護要求,做好全面的資安防護準備。
資訊技術安全管理措施
為了因應全球持續的網路攻擊、各類資安威脅情事不斷,建立多層次的資安防禦架構,厚實集團資安防護量能,快速回應複雜多變威脅,推行的管理事項及具體管理方案如下。
投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
01 專責人力
以「資安暨個資委員會」為資安專責單位,並設立資安長,負責綜理、管控資訊安全政策推動及資源調度,且監督成效及落實狀況,以維護及持續強化資訊安全。
02 國際認證
已取得國際資訊安全管理系統 ISO27001:2022 新版標準驗證,藉此持續精進資安治理架構及管理機制。2023 年完成新版標準審查,證書持續有效,亦無資安稽核重大缺失。
03 資安事件通報
對資安事件的通報及處理,事務局明確訂立權責、事件分級、及通報處理流程及時限,委由事務局掌握威脅及事件對應進度及結果,資訊單位須於目標處理時間內通報、解決資安事件,查找可能的根因,提出改善矯正措施及執行時間,以預防事件重複發生。2023 年未有重大資訊安全之相關事件發生。
04 郵件演練
2023 年共執行2 次社交工程演練,透過寄發網路釣魚郵件,測試同仁對於資訊安全保護的觀念,並透過宣導信件教授大家正確的郵件使用習慣。受測人數594 位( 含派遣同仁),演練涵蓋率100%,各發送6 封高擬真模擬惡意電子郵件,訓練同仁對於郵件社交工程的警覺性,提升全員資安意識
05 資安宣導
防護系統並非萬能,鑒於駭客攻擊手法不斷更新,仍須仰賴每位同仁有正確的資安觀念才能確保資安,因此在資安意識的提升上,新進員工於報到當天、及全體同仁每年須接受資安教育,也透過多元化的教育訓練及溝通宣導管道,以資安時事新聞,宣導並傳達和泰汽車最新的資安規定及注意事項,持續深化同仁的資安意識。