_PersonalInformationSecurityandPrivacyProtection_ISO27701-1.jpg)
公司資安採用ISO 27001之資訊安全管理系統,隱私保護則取得ISO27701之隱私保護管理認證,兩者均參考ISO 27005風險管理標準,鑑別與管理風險。台灣大設有資通訊暨個資隱私安全委員會,邀請獨立董事列席,投入資源執行管控,依法設置資通安全專責主管及人員十餘員,執行個資及資通安全管理制度所有事宜;每半年辦理內、外部稽核。其運作情形如下︰
為落實資安與個資保護,台灣大規劃四大策略如下圖,完善保障客戶隱私及公司資訊安全。另由總經理兼任資通安全長,建立、推動及維護本公司資訊安全文化,統籌對抗駭客攻擊與企業數位轉型之重任,另由總經理帶領資通安全管理,以 top-down 方式制定出明確資安風險管理策略與多元資安解決方案,可以更有效地與其他高層管理人員和董事會溝通和協調安全議題,有效且快速綜理資安政策推動及資源調度事務,有利加速將資安融入企業營運的日常作業。林總經理成立AppWorks並兼任董事長,熟悉創新資安。Y22為台灣大資安元年,在林總經理帶領下,反詐戰警、安心call資安專案更轉化為營收工具。
.png)
2024年系統偵測阻擋違規外傳機敏資料共181件,阻擋率100%;2024年經證實之資訊洩漏、失竊或遺失客戶資料事件的總數為零。公司成立資通訊暨個資安全管理處,專責處理個資洩漏等隱私問題或事件,摘要處理流程如下。
當執法機關向我們提出調閱、查詢顧客使用相關資訊,我們遵循主管機關制定之「電信事業處理有關機關查詢電信通信紀錄實施辦法」、「電信事業處理有關機關(構)查詢電信使用者資料實施辦法」等規範,依內部嚴謹的管理流程審查是否符合相關法律程序及要件,不符規範者,拒絕提供,盡我們最大努力兼顧客戶的資訊隱私和言論自由權,以及在公共安全維護上提供合法的協助。因此,2024年接到270,578件執法機關有關來函,本公司提供資料之比例為99.98%。
台灣大哥大視資訊安全與個人資料保護為公司治理之核心要素。本政策經總經理或其授權代表核准後實施,修訂時亦依相同程序辦理。
一、政策目的
為確保公司業務持續運作,強化資訊安全管理體系,維護資訊資產之機密性、完整性與可用性,本政策旨在符合法令規範,有效且合理地降低營運風險,作為公司推動資訊安全管理之最高指導原則。
二、政策目標
三、資訊安全管理範疇
本政策依據 ISO 管理架構涵蓋 14 大管理構面,以防止因人為疏失、蓄意行為或天災導致之資訊濫用、外洩、竄改或毀損。管理範疇如下:
公司依 PDCA(Plan-Do-Check-Act)循環模式,指定全體員工具備資訊安全責任,並每年定期進行獨立且客觀之資訊安全稽核與評估,檢視政策落實狀況、法規遵循、技術防護及營運實務,以確保資訊安全政策之有效執行及持續改善。
為提升全員資安意識,全體員工每年須完成 3 小時資訊安全必修課程;資訊人員須完成 9 小時選修課程,業務人員須完成 3 小時選修課程。公司亦透過定期內外部稽核、資訊安全評估與技術檢測,持續精進資訊安全管理成效。
台灣大哥大依據《資通安全管理法》及 ISO 標準,參考風險評估與營運衝擊分析結果,設計包含天災、人為事件及資安事故等複合情境之業務持續計畫(Business Continuity Plans, BCP),並每年實施演練。演練報告須包含檢討與改善措施,經管理階層核准後持續精進。當公司關鍵業務無法持續運作時,將啟動替代措施與安全復原機制,以確保員工安全與營運持續,降低事件損失。
台灣大哥大全體正式與非正式人員(含臨時人員及第三方派駐人員)如發現疑似資訊安全事件,須立即向直屬主管通報。主管應依事件性質通報相關權責單位及資訊安全官。資訊安全官如判定該事件屬資安事故,應依通報程序即時採取應變措施,降低潛在損害。
