首頁 / 公司治理 / 資訊安全與智慧財產 / 資通安全管理
本公司資訊安全之權責單位為資訊部,設置資訊主管一名,及專業資訊工程師數名,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關之資訊安全作業。
資安團隊定期向總經理、董事長進行資訊安全成果報告,並於每年向董事會報告資安治理事項,查核評估公司資訊作業內部控制之有效性,以及為保障資訊的機密性、完整性與可用性,並積極建立主動偵測與防禦的架構,以降低內部重要資料遭受破壞或外洩的風險。每年配合會計師進行資訊作業查核,若發現缺失,即刻提出改善措施並追蹤改善結果。
為強化資通安全管理,確保資訊的機密性、完整性以及可用性,並免於遭受內、外部的蓄意或意外的威脅,公司資通安全設施與管理方式分為六大項闡述如下:
(1)電腦設備安全管理
1.本公司各應用伺服器等設備均設置於專用機房,機房門禁採感應刷卡進出,且保留進出紀錄存查;外部廠商進出維護,需資訊同仁陪同,並登記進出狀況時間,作業項目。
2.機房內部備有獨立空調,維持電腦設備於適當的溫度環境下運轉;並配置機房專用滅火器,可適用於一般或電器所引起的火災。
3.機房主機配置不斷電及穩壓設備,並連結公司大樓自備的發電機供電系統,避免台電意外瞬間斷電造成系統當機,以確保電腦應用系統的運作順暢。
4.建置Log Server,對於重要網通設備皆保存重要日誌六個月以上,符合上市上櫃公司資通安全管控指引。
(2)網路安全管理
1.強化網路控管,與外界網路連線的入口,配置企業級防火牆,阻擋駭客非法入侵。
2.台中、新竹機房與台北辦公室site to site的連線作業,使用資料加密的方式,避免資料傳輸過程遭受非法擷取。
3.每年4月、10月針對核心系統進行滲透測試、弱點掃瞄,對於高度風險之弱點進行修補,減少駭客攻擊行為。
(3)病毒防護與管理
1.伺服器與同仁終端電腦設備內均安裝有防護軟體,病毒碼採自動更新方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
2.防病毒系統對於所偵測或攔截到的病毒,除立即予以隔離或刪除外,並主動發出受感染和處於風險的電腦風險報告,以利管理人員採取因應行動。
3.擬於114年導入端點防護與網路行為偵測系統,即時阻斷惡意行為,防範惡意程式及勒索病毒攻擊。
(4)系統存取控制。
1.同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊單位建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
2.帳號的密碼設置,規定適當的強度、字數,並且必須文數字、特殊符號混雜,才能通過。
3.同仁辦理離(休)職手續時,必須會辦資訊單位,進行各系統帳號的刪除作業。
4.擬於114年導入特權帳號管理系統,核心系統運維操作皆須經過事前認證授權、事中全程即時監控、事後稽核與產出稽核報表。
(5)確保系統的穩定運作。
1.系統備份:建置備份系統,採取定期備份機制,系統與資料庫除了上傳一份於機房備份主機外,電腦機房內備份主機2及新竹機房備份主機均另各存一份,以確保絕對的安全。
2.災害復原演練:各系統每年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機,再由使用單位書面確認回復資料的正確性,確保備份媒體的正確性與有效性。
3.租用電信公司兩條數據線路,透過頻寬管理設備,兩線路並聯互為備援使用,確保網路通訊不中斷。
(6)資安宣導與教育訓練。
1.定期宣導:為預防過度簡單易被猜測,增加密碼複雜度選項,並要求同仁定期更換系統密碼,確實維護帳號密碼的安全;並不定期做社交工程演練,以提升使用者對電子郵件的警覺性,避免因瀏覽惡意電子信件,而影響網路安全、發生個資洩漏事件。
2.講座宣導:每年不定期對內部同仁實施資訊安全相關的教育訓練課程
3.為實踐六大項資通安全政策,投入之資源如下:
(1)網路硬體設備如防火牆、郵件防毒、網管型集線路等。
(2)軟體系統如備份管理軟體、VPN認證等。
(3)電信服務如多重線路、主機備份服務、入侵防護服務等。
(4)投入人力如: 每日各系統狀態檢查、每週定期備份及備份媒體異地存放之執行、每年至少兩次資安宣導教育課程、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。
(5)資安人力:設置資安主管及資安人員,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂,資安主管每年向董事會至少報告一次。
首頁 / 公司治理/資訊安全與智慧財產 / 風險管理
為強化公司治理並健全風險管理機制,以合理確保本公司策略目標之達成與企業之永續經營與發展,特訂定本政策。
| 部門別 | 主要業務 |
|---|---|
|
董事會 |
董事會應向股東會負責,其公司治理制度之各項作業與安排,確保董事依照法令、公司章程之規定或股東會決議行使職權。 |
|
永續發展委員會 |
以指導下列事項之執行為主要目的:落實公司治理、發展永續環境、維護社會公益及加強企業永續發展資訊揭露。 |
|
稽核室 |
掌管公司內部控制制度之稽核,提供分析、評估等建議改善,並求證各項作業是否符合法令及公司內部規章,以提高管理績效。 |
為推動落實風險管理機制,每年一次向董事會報告其運作情形,最近一次報告於2024年11月08日董事會,其2024年主要運作情形如下
首頁 / 永續發展 / 永續經營 / 風險管理
本公司為開拓海內外市場及提升品牌價值,健全智慧財產管理制度,強化員工保護意識,制定與營運目標連結之智慧財產管理計畫。
依據本公司「智慧財產權之取得、維護及運用管理」內部控制規範及相關規章辦法,由需求單位評估並提出智慧財產權之需求性與必要性,由管理單位及外部事務所合作,辦理智慧財產權申請、維護及運用作業。
1.依據「勞動契約」、「智慧財產權暨業務保密切結書」,與員工間約定以下內容:
(1)著作權條款,規範員工受僱期間因職務所產生之創作歸屬,且不因離職而失其效力。
(2)保密相關條款,包含規範離職返還資料義務及保密義務等。
與外部廠商合作契約中須簽署權利瑕疵擔保條款,要求交易對象保證其執行合約事項並無侵害他人商標權、專利權、著作權、營業秘密或其他權利之情事。
為持續推動智慧財產管理相關措施,每年一次向董事會報告其運作情形,最近一次報告於2024年11月08日董事會,其2024年執行情形如下
截至2024年10月31日止,
首頁 / 公司治理 / 資訊安全與智慧財產 / 個人資料保護及隱私權政策
大魯閣實業股份有限公司(以下簡稱本公司)為提供您完善之服務,對於您所提供之個人資料,本公司將依個人資料保護法及本政策之規定為蒐集、處理及利用,並維護您之隱私權。
請您詳細閱讀本政策,如您不同意下列條款內容,您可以立即向本公司要求停止處理及利用您的個人資料;本公司有權修訂本政策,修訂後將於本公司APP、官方網站公告或以言詞、書面、電話、電子郵件、傳真、電子文件或其他足以使您知悉或可得知悉之方式告知。
本政策適用於本公司所有服務平台與網域。
1、 個人資料蒐集目的
本公司得為包括但不限於消費者保護與交易準則、改善服務內容、商業與技術資訊、會員(籍)或客戶管理、行銷、資料與資料庫管理、使用服務據統計或進行關於網路行為之調查、研究與分析、其他合於營業登記項目或章程所訂業務之需要,或係依法令之規定要求等目的,蒐集、處理、保存、傳遞利用、國際傳輸資料,以及與前述範圍內正當合理之特定目的關聯利用您所提供之個人資料。
2、 個人資料類別
本公司於APP、官方網站內所提供之服務需要,由您提供其個人資料,其資料種類包括但不限於基本資料、帳務資料,分類標準如下:
(1) 基本資料:包括姓名、出生年月日、性別、身分證字號、電話、地址、電子信箱等。
(2) 帳務資料:包括帳戶號碼或類似功能號碼、信用卡帳號、簽帳卡卡號、驗證碼、存款帳號、交易帳戶號碼、存借款及其他往來交易資料及財務狀況等。
(3) 參與活動:當您參與本公司舉辦的活動時,將請您提供可供聯絡與核對身分之必要個人資料;如您不願提供,您將無法參與相關活動。
3、 個人資料利用之期間、地區、對象與方式
(1) 期間
個人資料蒐集之特定目的存續期間、依相關法令或契約約定之保存年限或本公司因執行業務所必需之保存期間。
(2) 地區
原則於中華民國境內,如涉及中華民國境外之國際傳輸,本公司將會在確保您的個人資料安全與符合法律規定情形下才會進行。
(3) 對象
本公司、本公司之關係企業、業務委外機構、具有合作關係之第三人。
(4) 方式
以自動化機器或非自動化之利用方式。
4、 權利之行使
(1) 您得就所提供之個人資料,向本公司請求及行使如下權益:
●查詢或請求閱覽。
●請求製給複製本。
●請求補充或更正。
●請求停止蒐集、處理或利用。
●請求刪除。
(2) 當您請求及行使前述權益時,應以書面或電子文件向本公司提出申請,且本公司得酌收必要之成本費用。
(3) 本公司得就前述申請,要求您提供可確認身分之證明文件;若您委託他人代為申請者,受託人並應出具委任證明文件且提供您本人及受託人之身分證明文件。
5、 不提供個人資料之影響
您得自由選擇是否提供您的個人資料,惟若您選擇拒絕提供,您將無法註冊為本公司會員,或享有本公司提供之相關服務與優惠。
6、 資訊安全
本公司將採取適當安全措施,防止未經授權的資料存取、竄改、揭露或毀損,其中包括就資料的蒐集、儲存、處理慣例和安全措施進行內部審查,以及實體安全控制。
7、 本政策之修正
本政策將因應需求隨時進行修正,修正後的條款將刊登於本公司APP、官方網站上,所以請您經常查看,如您繼續使用本公司APP、官方網站,即代表您同意適用修正後的條款規定。
8、 諮詢
如您對本公司的個人資料保護及隱私權政策有任何問題,請不吝與本公司聯繫04-36081188。