資訊安全

資訊安全及顧客資料保護

和泰汽車自1987年啟動小型商用車與轎車生產及銷售等相關業務,34年來已累積350多萬顧客資料,為了保障客戶資料的安全及有效降低網路安全風險,我們持續精進及強化資訊安全系統,並成立「資訊安全委員會」,由總經理擔任資訊安全委員會主任委員,作為集團資訊安全之最高指導單位,負責資安政策之建立及審議資安問題與因應對策,以貫徹資訊安全治理政策,明確宣示及落實維護資訊安全,並要求全體員工確實遵守,維護集團資訊安全。
 
 
資訊安全委員會組織圖
 
 

資訊安全管理制度

為建立及維護集團安全及可信賴之資訊環境,確保資料、系統、設備及網路之穩定與安全,以達企業之永續經營,和泰汽車於2008年協同旗下8家經銷商,推動國際資訊安全管理標準ISO 27001驗證,成為台灣汽車業界首家上、下游廠商均通過ISO 27001認證的汽車經銷體系總代理及經銷商。事務局透過召開定例會議,針對新科技之導入或新資訊與通訊系統專案,評估可能之資訊安全衝擊,以確保資訊的機密性(Confidentiality)、完整性(Integrity)、可用性(Availability);同時檢討、處理並報告資訊安全及個資侵害事件與相關威脅,透過以上機制達到資訊服務風險評估及個人資料保護要求,做好全面的資安防護準備。
 
有鑑於近年惡意郵件攻擊事件猖獗,為避免遭惡意安全委員會」,由總經理擔任資訊安全委員會主任委員,作為集團資訊安全之最高指導單位,負責資安政策之建立及審議資安問題與因應對策,以貫徹資訊安全治理政策,明確宣示及落實維護資訊安全,並要求全體員工確實遵守,維護集團資訊安全。郵件侵害,集團建立通報及對應機制。除定期教育及演練,強化同仁對惡意郵件的警覺性,並建置進階電子郵件安全防護系統(APT),應用全球威脅情資、智能分析郵件,「事前主動阻擋」惡意郵件寄至公司內部。為確保資安管理的有效性,持續以PDCA做法不斷精進資安風險管理作業,透過每年資訊安全風險評鑑作業,確保資安控管其有效性及適當性,從各項可能的威脅與弱點組合中,分析出可能面臨的風險並加以改善,持續管控將資安風險降到最低。
 
當同仁如發現或經通報疑似資安(含個資)事件,應於第一時間通知相關單位並研判事件嚴重等級,如為重大資安事件,通知高階主管及記錄事故,因應對策。對應權責單位會於通報問題排除後通知通報者相關結果,並進行根因分析以降低未來事故重複發生之機率。
 
 
資安威脅告警處理流程
 
 

2020年資訊技術安全管理措施

面對各種外部的資訊安全威脅與網路攻擊,重新定義資訊安全風險管理措施。2020年採取資安零信任的防護思維,強化資訊安全偵測與防禦機制,依據駭客入侵手法,以事前-預防侵入、事中-偵測異常、事後-快速復原等三大主軸進行規劃,例如:阻擋不安全個人電腦(如:防毒、安全性未更新)連入集團網路,員工使用內部網路一律要通過安全驗證才能連線,並攔截集團員工連結至惡意網站,防止威脅入侵集團內部;建立資安戰情中心,即時掌控資安防護狀態(如:惡意威脅事件示警);強化集團行動裝置(手機及平板)防護管理機制,IT服務導入雙因素驗證(MFA),使身份認證的安全防護更為堅固。每年投入大量資源全面強化資安防禦設備、改善資安管理機制與強化同仁資安教育,從技術面到管理面整體落實,以確保資安防護系統有效性運作。
 
2020年資訊技術安全管理措施
 
 

資安宣導

防護系統並非萬能,鑒於駭客攻擊手法不斷更新,因此在資安意識的提升上,和泰汽車透過多元化形式的教育訓練及溝通宣導,持續深化每位同仁的資安意識。例如:公司每一位新進員工需接受2小時的資安教育訓練與測驗,以減少因不清楚資安規定誤引發資安事件或外洩機敏資料;針對全體同仁每年除接受資安教育外,同時會定期收到資安電子報,藉由資安時事新聞與新知分享,宣導並傳達和泰汽車最新的資安規定及注意事項,讓員工深知資安風險及防護的重要性。
 
 

保護顧客隱私權

為使客戶資料獲得完善的保護,和泰汽車建置全集團個人資料管理制度,從企業策略面著手定位組織管理與運作,透過業務流程與資訊系統的分析,檢視個人資料取得、處理、傳遞、儲存、封存與銷毀等過程的生命循環及存取控管情況,規劃最完善的個資保護解決方案。
 
 
保護顧客隱私權
 
 

符合法令規範

為保障顧客線上隱私,遵循台灣「個人資料保護法」在個人資料之蒐集、處理或利用之規範,和泰汽車頒發「個人資料檔案蒐集、處理與利用管理辦法」供相關單位遵循。此外,遵循法令要求,在官方網站上揭露客戶資料之隱私權聲明,除承諾本集團將保護客戶隱私外,並清楚說明客戶資料之蒐集、使用與資料安全規範等,以保障顧客隱私權。
 
個人資料保護法 TOYOTA個人資料保護法 LEXUS個人資料保護法 HINO個人資料保護法
 
 

落實控管與教育

為完善保護顧客個資,和泰汽車個資事務局每年定期辦理個資教育訓練及個資侵害演練。教育訓練以教材搭配測驗確保同仁個資意識(時數約2小時),受訓對象為全體同仁。
 
在委外廠商方面,自2015年起建立委外廠商個資防護規範,要求廠商遵循,且自2016年開始,每年一次定期審閱委外廠商交付之個資自評報告並執行實地稽核,於2018年建立委外廠商再發缺失控管機制,設有「委外廠商個資安全管理作業規範」並分級廠商個資防護能力,供權責單位作為遴選廠商參考。
 
在據點一線同仁方面,於2018年為確保據點一線同仁之作業程序及個資意識符合個資法及公司程序要求,則由稽核人員佯裝為車主,至TOYOTA服務廠提出個資需求,稽核一線同仁之作業程序及個資意識,並透過經銷商針對不合規同仁進行個資再教育,及持續不定期抽查,覆核同仁改善情況。透過上述機制,確保委外廠商及一線同仁妥善防護車主個資,預防違反個資法之情事發生,至2020年並無違反個資法之案例,且無遺失客戶資料或洩漏客戶資料等投訴。
 
 

其他隱私保護做法

據點一線同仁近年來大量運用行動裝置(手機、iPad)及APP在銷售活動以及售後維修等業務,為確保行動裝置上應用的安全性,避免行動裝置使用、遺失等行為,造成企業資料外洩所帶來的風險,導入新一代行動裝置管控系統。透過上述的系統,納管iOS及Android等作業系統的行動裝置,避免資訊設備遭外部使用者不當利用或駭客攻擊導致資料外洩,以落實企業個資防護。
 
 
 
 
 
Top