▶️資訊安全
資訊安全治理
大聯大控股股份有限公司(以下簡稱本公司)之資訊安全政策,使全體同仁能遵守並有所依循,輔助使用者之各項業務作業順利運行,並確保各項資訊媒體之安全,以達成本公司資訊安全之目標。
為有效推動資訊安全管理制度之各項工作,大聯大控股擬訂各項資訊安全發展之方向及策略,成立「資訊安全管理委員會」,以管理本公司資訊安全管理制度體系運作,及資訊安全相關作業之執行、程序制定、審查等工作事項。藉由資訊安全組織之運行,使資訊安全管理制度持續穩健運作。
資訊安全風險管理及持續改善架構
資訊安全事故管理機制
為確保大聯大控股資訊安全事件分類、通報、處理、統計及追蹤之作業加以制度化,本公司設置事件通報處理機制,以期資訊安全事件發生時,能迅速通報及應變處理,並在最短時間內回復,以確保各項業務之正常運作。
資安事件通報處理
大聯大控股明確訂立資安通報及處理流程,資安事件由資訊服務團隊進行收錄並訂定事件等級,依照資訊安全事件類型以及受影響之資訊作業範圍,通報資訊技術團隊權責主管,並由資訊技術團隊評估事件處理時效、排除及解決資訊安全事件,並依據事件等級進行相關公告。如資訊安全事件涉及法規或犯罪,本公司應主動通報相關主管機關,並確認處理措施符合法規要求,與處理過程中證據留存事宜。通報流程如下:
-
通報受理單位如判斷為資安事件,應予以記錄,通知資訊安全推行單位,並依公司應變流程進行通報作業,由業務部門確認是否需通報相關外部單位注意。
-
若資安事件影響等級為特定等級以上,應評估事件處理時間,並通知資訊安全推行單位權責主管,由其偕同資訊單位決定是否啟動異地備援機房或啟動緊急應變作業程序。
-
通報受理單位應記錄及追蹤資訊安全事件之處理狀況,及結束時間等資訊,並適時反應、追蹤進度紀錄,以保持紀錄之完整性。
近三年無資訊安全相關事件與財務衝擊,且無因資訊安全事件造成客戶資訊外洩之情事。
導入資訊安全管理機制
大聯大控股在2020年建置資訊安全管理體系,並於2021年7月取得ISO 27001認證,全面針對資訊安全管理系統機密性、完整性及可用性進行完善管理規劃,建立完整的規劃、執行、檢測和行動的資訊系統。大聯大控股制定資訊安全管理規範,明確資訊安全管理指標與管理目標,並於2022年6月順利通過ISO 27001認證第一次審查,同一時間也導入ISO 27017專案強化雲端服務管理,2023年9月取得認證。依據目前制定的資訊安全管理規範,每年至少進行一次的管理機制包含:
資安相關教育訓練、宣導說明