▶️信息安全
信息安全治理
大联大控股股份有限公司(以下简称本公司)之资讯安全政策,使全体同仁能遵守并有所依循,辅助使用者之各项业务作业顺利运行,并确保各项资讯媒体之安全,以达成本公司资讯安全之目标。
为有效推动资讯安全管理制度之各项工作,大联大控股拟订各项资讯安全发展之方向及策略,成立「资讯安全管理委员会」,以管理本公司资讯安全管理制度体系运作,及资讯安全相关作业之执行、程序制定、审查等工作事项。藉由资讯安全组织之运行,使资讯安全管理制度持续稳健运作。
信息安全风险管理及持续改善架构
资讯安全事故管理机制
为确保大联大控股资讯安全事件分类、通报、处理、统计及追踪之作业加以制度化,本公司设置事件通报处理机制,以期资讯安全事件发生时,能迅速通报及应变处理,并在最短时间内回复,以确保各项业务之正常运作。
資安事件通報處理
大联大控股明确订立资安通报及处理流程,资安事件由资讯服务团队进行收录并订定事件等级,依照资讯安全事件类型以及受影响之资讯作业范围,通报资讯技术团队权责主管,并由资讯技术团队评估事件处理时效、排除及解决资讯安全事件,并依据事件等级进行相关公告。如资讯安全事件涉及法规或犯罪,本公司应主动通报相关主管机关,并确认处理措施符合法规要求,与处理过程中证据留存事宜。通报流程如下:
-
通报受理单位如判断为资安事件,应予以记录,通知资讯安全推行单位,并依公司应变流程进行通报作业,由业务部门确认是否需通报相关外部单位注意。
- 若资安事件影响等级为特定等级以上,应评估事件处理时间,并通知资讯安全推行单位权责主管,由其偕同资讯单位决定是否启动异地备援机房或启动紧急应变作业程序。
- 通报受理单位应记录及追踪资讯安全事件之处理状况,及结束时间等资讯,并适时反应、追踪进度纪录,以保持纪录之完整性。
近三年无资讯安全相关事件与财务冲击,且无因资讯安全事件造成客户资讯外泄之情事。
导入资讯安全管理机制
大联大控股在2020年建置资讯安全管理体系,并于2021年7月取得ISO 27001认证,全面针对资讯安全管理系统机密性、完整性及可用性进行完善管理规划,建立完整的规划、执行、检测和行动的资讯系统。大联大控股制定资讯安全管理规范,明确资讯安全管理指标与管理目标,并于2022年6月顺利通过ISO 27001认证第一次审查,同一时间也导入ISO 27017专案强化云端服务管理,2023年9月取得认证。依据目前制定的资讯安全管理规范,每年至少进行一次的管理机制包含:
信息安全倡导与教育训练