資訊安全管理

 永續績效    管理方針

  • 致伸集團無發生任何侵犯客戶機敏資料被投訴之情事
  • 2020年共舉辦18場資安教育訓練
  • 2020年完成ISO 27001換證稽核

客戶隱私與機密資訊是致伸集團關注的重要議題,且經風險評估專案小組鑑別為重大風險之一,因此集團致力於保護客戶隱私與機密資訊以維護客戶的權益,並將其視為本公司最重要的資訊安全管理目標,這也是眾多客戶多年來願意與本公司建立合作關係的主要原因。

對於所有客戶隱私與機密資訊是以需者方知(Need-to-know)為基礎,並從人(People)、流程(Process)與技術(Technology)三要素著手執行相關的保護機制與措施,以確保客戶隱私及機密資訊的安全,摘要如下:


 

 

同時,為提升應用系統安全與降低風險,每年定期執行系統設備弱點掃描並對中高風險的弱點進行修補,並已導入用戶端特權帳號管理、DLP 工具及MFA 雙因子認證強化機制,降低機密或敏感性資料異常事件的發生,持續進行BEC ( 商務電子郵件入侵 ) 郵件分析與SIEM ( 資訊安全事件管理系統 ) 日誌監控,以期達成異常即時監控,持續強化資訊安全管理機制。

為了在既有良好的資安管理基礎上,能持續確保客戶隱私與機密資訊之安全,致伸科技自2017 年起,著手建置以符合ISO 27001:2013 的資訊安全管理系統,於2018 年2 月首次通過系統驗證。另於2021 年1 月通過BSI 換證稽核並取得證書,有效符合ISO/IEC 27001:2013 國際標準的所有要求。此外,致伸已於2018年6 月開始投保網路資安保險,保險金額為一千萬美元,一旦發生資安事故時,即可獲得損害賠償。致伸秉持「規劃(Plan)、建置(Do)、監督(Check)、改善(Action)」PDCA 的循環運作模式,持續改善及強化本公司之資訊安全和客戶隱私管理。
 

資訊安全組織

為提升集團安全管理,於2014 年7 月成立集團安全部門,並於部門下設立「資安管理小組」,規範資安管理人員權限與責任,協調事務及推動資訊安全管理事宜,確保資訊安全各項管理規範能有效持續地執行。定期安排一年兩次的資安教育訓練和年度社交工程演練,經由電子郵件、即時通訊和數位電視等方式,進行資訊安全防護和時事案例宣導,強化集團員工的資安意識。以下為集團安全部門組織架構。

資訊安全風險評鑑

本公司定期盤點資訊資產,更新資產清冊。並且每年評鑑與資訊資產相關的風險,管控高風險項目,以降低風險發生的可能性及產生的衝擊,確保本公司資訊安全的長治久安。

資訊安全內部查核

資安管理小組依據風險性訂定評估項目,每年會進行資訊安全自行評估及檢核作業,並將評估結果及佐證資料,交稽核部覆核。本公司稽核部目前每半年執行一次資訊循環查核,其中資訊安全為必要查核項目,並定期至少每年一次將所有查核結果向審計委員會及董事會報告。