資訊安全與隱私保護

資訊安全與隱私保護

資訊安全與隱私保護

資訊安全與隱私保護

資通安全風險架構管理說明

 

資安風險管理架構

資安政策

為落實資安管理,公司訂有電腦化資訊系統處理循環與資安管理規範,資訊部門執行各項資安工作業務,處理政策如下:

  1. 維護資料完整與可用性。
  2. 確保依據部門職能規範資料存取。
  3. 防止未經授權的資料與系統使用。
  4. 降低公司網路系統遭受入侵之風險。
  5. 防止網路資源被不當濫用。
  6. 依循個資保護法規定,針對存放個資之系統存取權限進行嚴格控管。
  7. 針對到職與在職同仁進行資安宣導強化資安認知。
  8. 資安樣態收集,風險評估與宣導防範。

 

具體管理方案

為降低資安風險, 並能在事件發生時以最短的時間排除異常,維持公司正常運作,本公司資安管理從以下幾個構面展開

設備管理防護
  • 防毒軟體更新
  • 作業系統弱點掃描與補強
  • 持續關注資安變化趨勢及時採取因應方案與培訓
外部風險預防
  • 建置防火牆規範外部存取,封堵入侵途徑
  • 建置垃圾郵件過濾機制,防止社交詐騙郵件
  • 遠程辦公簽核機制導入雙因素認證
應變復原
  • 系統備份機制建置與還原演練
  • 應變計畫訂定(如駭客入侵/電力問題等)

2025年執行狀況

  1. 艾笛森於2023年成立資訊安全專責單位,包含一名資安專責主管與一名資安專責人員
  2. 本期間更新防火牆設備,整合外部資源降低受駭與釣魚網站之風險
  3. 為強化資訊安全機制及產業界資安情資交流,艾笛森自2023年加入中華民國資訊軟體服務商業同業公會 (TISSA)之資安長聯誼會與加入台灣電腦網路危機處理暨協調中心(TWCERT),透過參與協會交流及各類資安活動與接收各類情資,厚植艾笛森資安認知,提升資安防護能量
  4. 本期間已完成資料復原演練,確保可用性
  5. 本期間資訊安全宣導受訓人數計157人次,並不定期進行最新資安樣態宣達
  6. 本期間資安人員陸續參與協力廠商勒索病毒相關講座計3次,提升資安職能專業
  7. 2025年11月資安人員業已完成ISO27001條文與內稽課程訓練,將依循條文精神,預計2026年逐步修訂制度, 強化資訊安全體質
  8. 本年度至目前為止,無受駭導致影響公司營運之情事發生
  9. 艾笛森定期檢討資安政策,定期向董事會報告:資安單位於2025年11月6日向董事會報告資安風險管理架構、資安政策、資安相關風險評估結果及相關措施執行情形。

 

個人資料保護及管理

艾笛森尊重並致力於保障個人資料之安全與隱私。為遵循《個人資料保護法》,並參酌經濟合作既發展組織(OECD)個人資料保護八大原則、歐盟《一般資料保護規範》(General Data Protection Regulation,GDPR)及相關法規之要求,艾笛森於2025年2月26日第八屆第20次董事會通過《個人資料保護管理辦法》(下稱「個資辦法」)修訂版本。個資辦法及相關政策由法務部負責制定、管理與執行。艾笛森官方網站亦公告《隱私權政策》,以建立個人資料保護制度與管理架構。

 

艾笛森透過結合資安政策技術及手段(如權限控管、防火牆、入侵偵測等)管理與防護個人資料,落實資料存取權限管理與資料擁有者覆核機制,確保個人資料之可用性、完整性與保密性,同時確保個人資料在存取及共享過程中受管理與防護,以防止個人資料遭未授權存取、洩漏、竄改或遺失。

 

個資辦法及隱私權政策之適用範圍涵蓋艾笛森集團,前述辦法及政策保障之範圍不僅及於艾笛森之員工、艾笛森網站之訪客與客戶等。凡涉及個人資料之蒐集、處理、利用及保護事項,艾笛森除遵循政府相關法令規範外,並依個資辦法及隱私權政策規定管理執行,要求員工確實遵循。此外,為確保員工個人資料之合法使用與安全維護,艾笛森亦於與員工簽署之聘用合約書中明訂個人資料使用同意條款,以保障個人資料安全及利害關係人之權益。

 

自2025年1月1日至2025年10月31日止,艾笛森未曾發生任何來自監管機構或外部單位之個人資料相關申訴或裁罰事件,接獲0件任何內部人員或外部民眾檢舉、通報個人資料竊取、洩漏、竄改或其他侵害事件,展現艾笛森在個人資料保護管理之執行成果。倘若發生個人資料竊取、洩漏、竄改或其他侵害事件(以下稱「個人資料安全事故」),一經直接或間接獲悉通報,艾笛森將立即啟動「個資事故專案小組」,採取緊急應變措施,以防止個人資料持續受損、滅失或洩漏。個資事故專案小組負責調查事故原因、受害情形及相關系統或作業之疏漏,並研擬受害當事人之因應及補救措施。如經調查確認事故係因員工故意或過失違反相關辦法、政策或法律所致,艾笛森將視情節嚴重程度依法追究相關責任。

 

為強化員工個人資料保護與資安意識,艾笛森透過內部電子佈告欄、電子郵件等多元方式,宣導個人資料保護管理辦法及其重要性。於2025年內部共舉辦相關教育訓練課程,參訓人次達142人,累計訓練時數142小時,以進一步提升員工對個人資料管理與資訊安全之認知與遵循意識。

 

若您欲查詢、更正、刪除或停止使用您的個人資料,或行使個人資料保護法所賦予之其他權利(例如停止接收艾笛森之相關資訊),請透過電子郵件或電話與艾笛森聯繫,艾笛森將盡速處理您的申請。