資訊安全管理千如集團為建立資訊安全管理制度,確保集團資訊之機密性、完整性與可用性,同時因應金管會的要求,並配合其強化上市上櫃公司的資通安全管理政策,於2022年正式成立資安室,且配合臺灣證券交易所要求上市上櫃公司配置適當的人力資源和設備,以規劃、監控和執行資通安全管理作業,持續提升本公司資訊安全韌性。資訊安全委員會2024年6月24日首次舉行資安委員會,確認本公司之資安委員會組織架構、資安政策以及集團資安規劃,未來將每年至少1次舉辦資安委員會,以落實管理。資安管理政策資安政策經董事會同意通過,確保集團資訊系統具有安全性、久固性,排除任何可能的資安事件,並資訊之機密性、完整性與可用性,以及建立同仁正確的資安觀念,維護集團的永續營運,未來持續依照本政策,逐步完善本公司資安相關規範與措施。資安認知推廣為提高員工對資訊安全的認識和重視,從台灣廠開始進行資安認知推廣,每人上課1.5小時,共208人上課並參與測驗,203人通過測驗,總時數為312小時,通過率97.6%。異地備援每日進行磁帶與異地備份,將逐步建置更完整異地備份(例如雲端備分)與確保重要資料被妥善保存,且為確保資訊作業系統、設備、網路及資料等之安全,公司每半年進行系統化災難演練,2024年的災害復原演練於9月9日執行。弱點掃描2024年定期對於主機做弱點掃描並分析結果。共計完成55台servers掃描。AD帳號登入失敗2024年定期檢視AD帳號登入失敗並管理。完成83次檢視。資安演練2024年同仁電腦中未查獲未經授權的軟體(已經使用自動化方式收集軟體清單並由資訊部檢視完成)。共計收集253台資料並完成軟體安裝檢視。釣魚信件、社交工程信件於2024年共進行6次演練,包含以下內容: 1. 5/8您的4月份薪資有異常,請協更正資料! 2. 6/3玉山網路銀行帳務訊息 3. 6/18 MOMO購物網 4. 12/26打卡異常需要您的注意檢查 5. 12/27包裹招領通知單需要您的注意 6 .12/30 LOTTO WIN 共有32位同仁誤點釣魚郵件,已請相關同仁重新學習資安認知教育訓練教材並進行測驗,最終皆順利通過。透過此次訓練,有效提升資安意識,強化對網路安全風險的警覺性。資安宣導於2024年執行狀況 1. 3/30新型網路釣魚即服務平台利用RCS及iMessage進行攻擊 2. 6/26發佈中英文資安政策 3. 9/25 Google Play Store 熱門瀏覽器或相機應用程式暗藏Necro惡意軟體 4. 10/28不意外!這些檔案類型最常被駭客用來隱藏惡意軟體12/30宣導資安通報20241230:美國擬禁用TP-Link路由客戶隱私管理為確保客戶資料的安全與管理,千如集團制定資料保護原則。首先,明確告知客戶其個人資料的蒐集、使用及保護方式,確保資訊透明度。資料蒐集遵循最小化原則,僅限必要範圍,並確保符合特定目的,同時採取去識別化處理,降低隱私風險。 在使用層面,本公司嚴格限制客戶資料的應用範圍,確保僅用於原始蒐集目的,避免濫用。此外,對於敏感資料,如透過郵件傳輸時,皆採取加密處理,確保資訊安全不受威脅。 在內部管理上,落實權限控管,僅授權員工可存取敏感資料,並定期由部門主管審核資料夾權限,確保存取權限維持在最適當的範圍內。透過這些措施,公司積極維護客戶資料的安全性,確保個資保護符合最高標準。個人資料保護為確保集團所屬之資訊資產的機密性、完整性及可用性,以符合相關法令、法規之要求,使其免於遭受內、外部蓄意或意外之威脅,並落實個人資料之保護及管理並符合個人資料保護之相關需求,保護資訊資產(包括個人資料)免受未經授權的存取、使用、披露、破壞、竄改或損失,本公司已建立內部文件:個人資料保護管理辦法,適用範圍包含集團員工、商業夥伴、外來訪客。郵件內文與附件設有加密機制,在郵件的主旨上加上特殊符號:「@@」、「##」會自動進行郵件加密。郵件中若有涉及信用卡、身份證號碼等機密資料,在郵件的主旨加上:[!Personal information!]提醒個資風險。讓收件者妥善處理個資郵件。