資訊安全

 

資訊安全及顧客資料保護

和泰汽車自1987年啟動小型商用車與轎車生產及銷售等相關業務,至今已累積350多萬顧客資料,為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統。和泰汽車於2007年成立「資訊安全委員會」,作為集團資訊安全之最高指導單位,以貫徹資訊安全治理政策,明確宣示及落實維護資訊安全,並要求全體員工確實遵守,維護集團資訊安全。「資訊安全委員會」透過定期每一年舉辦一次會議,由集團主任委員(即和泰汽車總經理)及資安委員負責審視本集團資安治理政策,督導資安管理體系運作情形。2022年設定「資訊安全事務局」為資安專責單位及設立資安長,透過每月一次定例會議,依據內外部環境需求及法令規定,評估資安政策之適用範圍、完整性,適時進行政策調整,以檢核全集團資安政策執行進度及結果,確認皆有符合本集團資訊安全之要求,當有重大資安事件與個資侵害事件發生時,處理並呈報主任委員,以建構高標準資安防護能力。
 
 
 
 
 
資訊安全管理制度
 
為建立及維護集團安全及可信賴之資訊環境,確保資料、系統、設備及網路之穩定與安全,以達企業之永續經營,和泰汽車於2008年協同旗下8家經銷商,推動國際資訊安全管理標準ISO 27001認證,成為臺灣汽車業界首家上、下游廠商均通過ISO 27001認證的汽車經銷體系總代理及經銷商。為確保資安管理的有效性,持續以「計劃-實施-查核-行動」(PDCA, Plan-Do-Check-Act)循環不斷精進資安風險管理,事務局透過召開定期會議,針對新科技之導入或新資訊與通訊系統專案,評估可能之資訊安全衝擊,並藉由每年資訊安全風險評鑑作業,依據法令要求、近期內外部威脅情資等項目,評估對內部可能產生的資安風險並加以對策改善,以確保資安控管其有效性及適當性。從各項可能的威脅與弱點組合中,分析出可能面臨的風險並加以改善,持續管控將資安風險降到最低,以確保資訊的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability);同時檢討、處理並報告資訊安全及個資侵害事件與相關威脅,透過以上機制達到資訊服務風險評估及個人資料保護要求,做好全面的資安防護準備。
ISO27001有效期限:2020/12/20~2023/12/20
 

規畫階段

著重資安風險管理及強化,建立完整的資訊安全管理系統(Information SecurityM a n a g e m e n t S y s t e m ,ISMS),推動和泰汽車持續通過國際資安管理系統認證(ISO/IEC27001),並透過年度查核作業,不斷持續改善資安管理制度。從管理面、流程面、系統面、技術面降低企業資安威脅,確保客戶資料受到妥善的防護。

執行階段

建構多層資安防護機制,持續運用人工智慧及自動化機制,導入多項管控機制及防護措施,來抵禦內外部資安威脅,並結合全球威脅情資,以系統化方式監控資訊安全,提升各類資安事件之偵測及處理效率。厚實資訊安全及網路安全防護量能,快速回應複雜多變威脅,以維護公司重要資產的防護。
 

查核階段

定期監控資安管理指標成效,及上述管理系統每年第三方複審稽核,另委由專業的資安廠商進行系統安全性測試,以確保持續提升資安管理及防禦能力。

行動階段

定期檢討與持續改善資訊安全防護措施,並進行全員資安教育訓練以提升資安意識。
 
 

2022年資訊技術安全管理措施

為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下。
 
 
1.提升端點及身分帳號安全
面對後疫情時代,採「零信任思維」規劃電腦及系統架構,一致化公司電腦及帳號作業標準及流程,提升基礎架構防護控制力,與應用資安防護新功能,強化身份認證及使用資訊系統的安全,提升新常態辦公服務之安全。
 
 
 
 
 
 
 
 
 
2.加強委外廠商資安管理
依據委外服務流程控管項目及常見資安風險,制定和泰汽車資安條款,並規定同仁在簽訂委外合約時應附加資安條款,約束廠商應充分了解及確實遵守和泰汽車制定的資安政策,共同維護公司重要資產。
 
 
 
 

投入資通安全管理之資源

資訊安全已為公司營運重要議題‧對應資安管理事項及投入之資源方案
 
 
 
 
為確保新進員工於入社後可立即接受資安教育,並對照工作情境建立正確的資安觀念。公司每一位新進員工於報到當天,就會收到需接受資安教育的郵件,內容以影片及動畫方式呈現工作情境、社交工程及常見駭客攻擊手法,並以測驗機制驗證新進員工的學習成果,減少因不清楚資安規定誤引發資安事件或外洩機敏資料。
 
 
針對全體同仁每年除接受資安教育外,同時會定期收到資安電子報,藉由資安時事新聞與新知分享,宣導並傳達和泰汽車最新的資安規定及注意事項,讓員工深知資安風險及防護的重要性。
 
 
 
 

顧客資料保護

 
 
保護顧客隱私權
為使客戶資料獲得完善的保護,和泰汽車建置全集團個人資料管理制度,從企業策略面著手定位組織管理與運作,透過業務流程與資訊系統的分析,檢視個人資料取得、處理、傳遞、儲存、封存與銷毀等過程的生命循環及存取控管情況,規劃最完善的個資保護解決方案。2022年並無違反個資法之案例,且無遺失客戶資料或洩漏客戶資料等投訴。
 
 
 
符合法令規範
為保障顧客線上隱私,遵循台灣「個人資料保護法」在個人資料之蒐集、處理或利用之規範,和泰汽車頒發「個人資料檔案蒐集、處理與利用管理辦法」供相關單位遵循。此外,遵循法令要求,在官方網站上揭露客戶資料之隱私權聲明,除承諾本集團將保護客戶隱私外,並清楚說明客戶資料之蒐集、使用與資料安全規範等,以保障顧客隱私權。
 
 
TOYOTA LEXUS HINO
 
 
 
落實控管與教育
為完善保護顧客個資,和泰汽車個資事務局每年定期辦理個資教育訓練及個資侵害演練。教育訓練以教材搭配測驗確保同仁個資意識(時數約2小時),受訓對象為全體同仁。
 
 
 
 
委外廠商個資管理
在委外廠商方面,自2015年起建立委外廠商個資防護規範,要求廠商遵循,且自2016年開始,每年一次定期審閱委外廠商交付之個資自評報告並執行實地稽核,於2018年建立委外廠商再發缺失控管機制,設有「委外廠商個資安全管理作業規範」並分級廠商個資防護能力,供權責單位作為遴選廠商參考。
 
 
 
 
 
 
 
Top