資訊安全管理
和泰汽車自 1987 年啟動小型商用車與轎車生產及銷售等相關業務,隨著集團業務不斷拓展、提供客戶服務應用增加,為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統及個人資料保護機制。和泰汽車於 2007 年成立「資訊安全委員會」,作為集團資訊安全之最高指導單位,以貫徹資訊安全治理政策,明確宣示及落實維護資訊安全,並要求全體員工確實遵守,維護集團資訊安全。為了全方位保護顧客個資,和泰汽車「資訊安全委員會」於 2024 年 1 月更名為「資安暨個資委員會」,除由「資安事務局」為資安專責單位外,新設立「個資事務局」,專責事務局進行個資管理,持續推動個人資料保護政策,強化個資防護韌性及管理機制。
「資安暨個資委員會」透過定期舉辦會議,由集團主任委員(即和泰汽車總經理)及委員們,審視本集團資安治理及個人資料保護政策,督導資安及個資管理體系運作情形。委員會轄下之資安及個資業務推行專責事務局則透過定例會議,依據內外部環境需求及法令規定,評估資安及個資政策之適用範圍、完整性,適時進行政策調整,共同檢核全集團政策執行進度及結果,確保皆有符合本集團資訊及個資安全之要求,當有重大資安事件與個資侵害事件發生時,處理並呈報主任委員,以建構高標準防護能力。
資安暨個資委員會組織圖
資訊安全管理制度
為建立及維護集團安全及可信賴之資訊環境,確保資料、系統、設備及網路之穩定與安全,以達企業之永續經營,和泰汽車於 2008 年協同旗下 8 家經銷商,推動國際資訊安全管理標準 ISO 27001 認證,成為臺灣汽車業界首家上、下游廠商均通過 ISO 27001 認證的汽車經銷體系總代理及經銷商。為確保資安管理的有效性,持續以「規劃-執行-查核-行動」(PDCA, Plan-Do-Check-Act)循環不斷精進資安風險管理,事務局透過召開定期會議,針對新科技之導入或新資訊與通訊系統專案,評估可能之資訊安全衝擊,並藉由每年資訊安全風險評鑑作業,依據法令要求、近期內外部威脅情資等項目,評估對內部可能產生的資安風險並加以對策改善,以確保資安控管其有效性及適當性。從各項可能的威脅與弱點組合中,分析出可能面臨的風險並加以改善,持續管控將資安風險降到最低,以確保資訊的機密性(Conüdentiality)、完整性(Integrity)、可用性(Availability);同時檢討、處理並報告資訊安全與相關威脅,透過以上機制達到資訊服務風險評估,做好全面的資安防護準備。
資訊技術安全管理措施
為因應 AI 技術迅速發展,駭客攻擊變得更快速且廣泛、各類資安威脅情事不斷,和泰汽車採取人員、制度與技術的協同防護策略,建立多層次的資安防禦架構,快速回應複雜多變威脅,推行管理事項及具體管理方案如下。
投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
01 專責人力
以「資安暨個資委員會」為資安專責單位,並設立資安長,負責綜理、管控資訊安全政策推動及資源調度,且監督成效及落實狀況,以維護及持續強化資訊安全。
02 國際認證
依循國際資訊安全管理系統 ISO 27001 標準,持續精進資安治理架構及管理機制。此外,每年透過驗證公司審查,以確保資訊安全管理體系的有效性,2024年完成審查,證書持續有效,亦無資安稽核重大缺失。
03 資安事件通報及處理
對資安事件的通報及處理,事務局明確訂立權責、事件分級、及通報處理流程及時限,委由事務局掌握威脅及事件對應進度及結果,集團各公司須於目標處理時間內通報、解決資安事件,查找可能的根因,提出改善矯正措施及執行時間,以預防事件再次發生。2024 年未有重大資訊安全之相關事件發生。
04 資安宣導
鑑於駭客攻擊手法不斷更新,仍須仰賴每位同仁有正確的資安觀念才能確保資安,因此在資安意識的提升上和泰汽車也透過多元化的教育訓練及溝通宣導管道,持續深化同仁的資安意識。2024 年執行 2 次社交工程演練,受測人數570 位,演練涵蓋率 100%,透過寄發網路釣魚郵件,測試同仁對於資訊安全保護的認知,並搭配宣導信件教授大家正確的郵件使用習慣,藉此強化同仁對於郵件社交工程的警覺性。