資通安全管理
一、資通安全風險管理架構、政策與管理資源
(一) 資通安全風險管理架構
- 本公司由資訊部負責資訊安全政策之管理與規劃,以及資訊安全相關事件之處理與通報。
- 資訊部為非隸屬使用者單位之獨立部門,負責統籌與執行資訊安全政策,宣導資安觀念,提升員工資安意識,並持續蒐集及改善資訊安全管理系統之績效與有效性。
(二) 資通安全政策
本公司於個人資料保護及資訊安全內控制度上,訂有「個人資料保護之管理」、「資訊循環」及「資訊安全管理辦法」,針對系統權限、設備安全、個人資料維護及資安事件等訂定明確規範。
因本公司專注於零售服務,資安風險以「消費詐騙」為核心議題,主要防護目標為消費者個人資料,包含會員資料、訂單資訊及信用卡資料。所有涉及信用卡資訊之儲存、傳輸及處理流程,皆採取加密機制。
本公司依循縱深防禦原則,採行「滾動式持續優化」策略,從事前管理、事中應變及事後優化三大面向持續提升資安防護能力。
資安強化措施說明
- 增強端點防護:針對客服單位電腦設備,啟用行為監控、機器學習防護、周邊媒體控管及軟體白名單等模組,以即時偵測異常行為並通報處理。
- 數據分析監控:整合系統稽核日誌並進行關聯性分析,以快速掌握潛在資安風險。
(三) 具體管理方案
- 辦公室網路安全:建置防火牆及端點防護系統,即時控管異常流量並隔離威脅。
- 防範惡意網路攻擊:採用負載平衡機制,確保系統穩定運作。
- 應用層防禦:透過網站防火牆防範 SQL Injection 等常見攻擊行為。
- 基礎設施層防禦:使用 VPN 與防火牆即時監控與阻斷攻擊。
- 日常維運與演練:定期進行內部測試與防禦設定優化。
- 消費者個資保護:依法提供隱私權聲明,並確保個資安全儲存與加密。
- 資料權限與機密管理:實施系統權限分級控管,並定期檢視與調整。
(四) 投入資通安全管理之資源
本公司目前配置資安相關人員共 3 名,其中包含 1 名資安專職人員,並依實際防護需求持續編列年度資安預算。
二、重大資通安全事件說明
最近二年度及截至公開說明書刊印日止,未發生重大資通安全事件,亦未造成任何相關損失。