8. Day8：2022年版中租控股永續報告書
   P29
   永續議題 管理方針
   政策承諾 作法
   資訊安全 建立安全可信賴之資訊作業環
   境，預防資安風險，確保客戶
   個資、資訊流程受到保障 設立治理層級資訊安全委員會，訂定資訊安全政策並落實管理面與技術面安全控制措施，持續通過國際標準驗證。明確制定個人資料之授權、使用、儲存、管理及銷毀等應遵循之保護程序，設立個人資料保護小組，確保落實個資法之執行
   相關評估機制與措施
   • 資料分級管理辦法
   • 個人資料保護要點
   • 資訊安全政策
   • 資訊安全管理要點
   • ISO 27001:2013 資訊安全管理系統
   相關章節
   4.4 個資保護
   5.7 資訊安全

P33
永續議題 管理方針
重要性說明 目標 績效檢視
資訊安全 精進資訊安全系統及管理策略，才能有效保護公司及客戶之權益，以利永續發展 • 持續精進資訊安全系統，防止資安事件發生
• 持續通過國際認可資訊安全標準驗證
• 強化對網路攻擊的偵測與防禦能力，確保線上交易安全
• 檢測內部資訊環境資安弱點
• 提升員工資訊安全意識
• 籌設專職資安組織單位 • 設立資安長及專責資安單位「控股資訊安全組」統籌資訊安全策略、管理、技術各面向工作規劃與實施
• 通過支付卡產業資料安全標準PCI DSS（Payment Card Industry Data Security Standard）認證
• 通過2022 年ISO 27001 複驗，維持驗證之有效性，反應管理制度的持續精進
• 完成全面性伺服器主機、網站安全檢測，產出整體安全弱點報告並擬定修補計畫，將持續完善資訊環境安全
• 完成全體員工電子郵件社交工程演練，並統
計意識較弱人員規畫資安教育課程，將持續強化員工意識
• 主要外部網站啟用網頁應用程式防火牆(WAF)，阻擋威脅流量與網頁攻擊，確保服務正常營運
2023 年目標
• 基於資安單位成立及整合內部危機管理準則，發展資訊安全通報應變程序
• 建置DLP 資料外洩防護系統(Data Loss Prevention)，對潛在外流管道進行全面偵測及保護，保障機敏資訊及客戶個人資料安全
• 導入多因子驗證系統(MFA)，透過多一層生物識別( 臉部、指紋)強化帳號登入安全
• 導入行動郵件管理系統，確保行動裝置收發公司郵件時資料不落地，郵件傳遞均有安全管控
• 建置弱點掃描平台，優化主機掃描及滲透測試作業流程和效益
• 持續進行電子郵件社交工程演練及教育訓練，透過反覆訓練降低警覺心較弱之人數，提高整體資安意識水平
• 評估投保資訊安全保險，建立風險移轉，提升系統環境風險承受度

中長期目標
目標 績效檢視 完成度 (2024年 ~2030年 )
• 導入SCA（Static CodeAnalyzer）靜態原始碼檢測分析工具，找出程式碼或網站中的安全弱點與資安漏洞產出報告，深入目前企業資安威脅
• 基於資安防護，持續檢測行動應用APP 程式，確保資安融入程式開發流程，提供不同面向之安全保護
• 持續擴展資料外洩防護範圍，確保客戶資料受到全面安全保護
• 導入零信任網路架構及管理規範
• 建構資安維運中心(SOC:Security Operation Center)，增強應對資安威脅之反應時間及處理效率

P67
藉由資訊人員依照個資安全保護與作業風險等級，進行必要系統之個資遮蔽作業及控管個資之二次使用，本年度本公司及子公司客戶資料二次使用比例合計為46.27%，並實施各面向安全控制措施：

1. 依據不同的業務範圍，設定同仁接觸資料權限。
2. 實施USB 儲存裝置封鎖管理，降低隨身碟USB 管道資料外洩的風險，以利
   資料複製行為之管控與審查。
3. 同仁使用行動裝置收發公司郵件，設立權限控管僅業務必須者可申請使用，
   亦導入安全管控機制使資料傳輸不落地，預防資料經由手機外流或遺失遭竊
   等資安風險，確實保障個人資料安全。
4. 存放個人資料之資訊系統，定期委由專業資訊安全廠商進行系統弱點掃描及
   滲透測試，維持資訊作業環境防禦強度與時俱進。
5. 客戶資料內部的傳遞也制定嚴格規範加強控管，並由內部稽核單位定期檢視，
   確保所有管控機制有效落實。

目前並無個人資料洩露之情事（包含個人資料PII，如姓名、身分證字號等可區
分或追蹤至個人之資訊）。
為確實保護客戶資料，一般同仁須接受個資保護與營業秘密法令遵循教育訓練，以供同仁學習參考，培養個資維護意識，落實資安及個資保護觀念於日常作業中。並要求員工務必善盡保密及保管責任，內部除嚴格實施管理規範，更逐步建置稽核軌跡與紀錄追蹤系統，並將個資安全之稽核檢查機制納入年度資安檢查與內部控制自行評估作業中，透過全面性與各構面的查核，提升同仁客戶資料保護及遵循法令意識與行為，未來規畫導入個人資料管理標準（例如BS 10012 或ISO 27701）。本公司及各子公司稽核單位應依規定辦理個人資料保護之執行情形之查核。如法令另有規定或主管機關要求，各子公司亦得視實際需要，委聘獨立第三方辦理前項規定事項之查核，並提具查核意見。於2022 年本公司無任何導致客戶個資外洩之資安違規事件發生，且無任何經證實侵犯客戶隱私或遺失客戶資料的投訴發生。
未來將持續規畫資料治理相關管理制度與規範，導入資料外洩防護系統、強化客戶資料保護機制、全面提升資安保護層級，建立安全及可信賴之作業環境。對於客戶資料之蒐集目的、使用方式及相關權益的行使，均於告知事項同意書或契約中載明，協助客戶充分了解雙方權利義務。
公司個資保護之專責人員依據公司相關規範適切處理與回覆，並制定及修改規範內容，同時加強內部政策宣導，且作成個案編撰、教學，透過作業流程的改善及內部規範的嚴格實施降低客戶訴怨發生機率。

P70
董事會成員之專業背景涵蓋金融、資訊科技、醫療保健、能源、法律與財務會計，
並且對於企業管理、法令遵循、國際租稅及公司治理等具備豐富實務經驗，皆具
備執行業務所需專業與能力。同時也藉由安排外部進修課程，以協助全體董事提
升專業能力與對趨勢議題的掌握，因應持續強化資安風險管理，2022 年課程主
題即包含資訊安全治理與管理、營業秘密保護，每位董事課程時數皆滿6 小時，
符合法規建議。本公司董事會成員多元性與獨立性之落實情形請詳見中租控股
2022 年度年報。

P84
風險項目 防線機制 管理單位
資安
風險 • 為強化資訊安全管理，建立安全及可信賴之資訊作業環
境，確保資料、系統、設備及網路安全
• 考量相關業務發展及需求，訂有「資訊安全政策」，並依政策所述相關事項訂定「資訊安全管理要點」及其他管理規範及建立控制制度
• 2019 年11 月將原隸屬子公司－中租迪和之資訊發展管理委員會提升至中租控股總經理轄下，並更名為資訊安全委員會，以落實資訊管理及安全 資訊單位
P87
違反紀錄事件統計（舉報案件類型）
2021 7件
2022 9件
P89
5.7資訊安全
為有效推動資訊安全工作，爰依據本公司「資訊安全政策」設置「資訊安全委員會」，負責掌理公司資訊安全推動及治理、資安風險監督管理及重大資安事件呈報等事項。該委員會每年至少召開會議一次，並得視需要隨時召開會議，重大決議會向董事會報告。
2022 年依據「公開發行公司建立內部控制制度處理準則」設置資安長、資安主管、資訊安全專責單位，由具資安專業職能人員統籌資安管理制度與合規遵循、資安分析監控、威脅與弱點管理、事件應變等工作。
資訊安全政策
為強化資訊安全管理，建立安全及可信賴之資訊作業環境，確保資料、系統、設備及網路安全， 考量相關業務發展及需求，訂有「資訊安全政策」，並依政策所述相關事項訂定「資訊安全管理要點」及其他管理規範及建立控制制度，相關政策內容可參閱官網之公司治理重要公司章程。

資訊安全委員會直屬董事長及總經理
職掌如下：
1 制定與審議公司資訊安全政策與發展策略。
2審議公司資安架構及相關管理規範。
3資訊安全意識提升及教育訓練計畫之審議。
4年度資訊安全投資計畫及預算審議。
5督導資訊安全管理事務之推動執行。
6其他資訊安全管理之事項。

管理方案
資訊單位 負責辦理資訊安全對策與計畫擬定、內控評估之研議，並提供資訊技術諮詢服務；同時負責資訊技術規範之研議、資訊安全需求、評估與建置等作業。
稽核單位 每年至少一次定期或不定期之資訊安全稽核作業。
人力資源單位 配合宣傳資訊安全作業推動，協助辦理新進員工資訊安全教育訓練，並與任用單位審慎評估人員之適用性。
企劃單位 針對公司內各類業務資訊予以適當分類、分級規劃，以妥善保護公司機密與智慧資產。
法務單位 對資訊委外合約協議、應保密事項進行合約審查並提供適切建議。
各單位主管加強宣導，建立員工資訊安全認知，並督導所屬之資訊作業安全，
防範不法及不當行為。
P90
辦理資訊安全教育訓練
各單位新進人員教育訓練，安排有專項資訊安全訓練課程，包括公司內部作業規
範、相關法令、電腦犯罪及資訊安全通識。資訊單位每年訂有教育訓練計畫，安
排人員參與外部研習課程，並通過相關專業考試。此外亦安排專業廠商進行資安
方案介紹及個案研討。
P91
資訊安全教育投入資源
隨著網路威脅增加及攻擊方式日漸複雜，衍生出許多企業資訊安全問題，政府及主管機關也愈見增加對企業應強化資訊安全風險管理之要求。然而威脅與攻擊的防範，除了運用科技工具以外；內部人員的資訊安全意識宣導與教育，更是資訊安全政策是否落實的一大關鍵成功因素。有鑑於此，新人到任時除了提供相關內部專業知識傳授外，也同時要求必需完成相關的資訊安全教育訓練，以達到防範未然，整體完訓率為100%。已加入公司之員工亦已完成相關資安訓練要求，其覆蓋率為100%。此外，資訊單位每年派遣同仁參加外部各項資訊安全相關訓練課程，提升員工資安專業知識，已因應資訊技術快速變遷。
課程名稱 課程數量 總時數
資訊安全，人人有責 1 461
中租控股個人資料保護教育訓練 1
其他外訓課程 6
註：以上課程統計以台灣為主
資訊安全管理措施
資訊單位提供閘道與端點防護功能，並有病毒程式隔離警訊，也透過網路流量管控與分析，進一步偵測外部可疑入侵行為。此外，為提升威脅偵測速度與回應時間，更於2021 年導入XDR（延伸式偵測及回應），來蒐集並自動交叉關聯多個防護層的資料，藉由更迅速的資安分析來提供更快的威脅偵測，亦可提升調查與回應時間。
2022 年設置資訊安全專責單位，並制定資訊安全日常檢核作業，確保各資安設備如預期發揮偵測防禦的能力，並分析設備所產生的警訊及記錄，發現並根除外部與內部潛在資安風險，將資安設備與作業流程整合，防範威脅於未然。
2022 年完成伺服器主機弱點掃描與主要網站滲透測試，透過委外專業資安廠商，以第三方角度進行深度安全檢測，依據檢測分析後所產出之風險報告，擬定弱點修補計畫並實施，資訊安全檢測頻率為一年兩次，確保即時掌控新興弱點威脅情資。
2022 年完成全體電子郵件社交工程演練，將經過設計貼近時事與模擬駭客攻擊手法之釣魚郵件，發送給全體員工以測試警覺性及資安意識，演練測試結果經統計分析後，規畫編寫資訊安全教育訓練教材，並定期發佈資安宣導使員工了解最新社交工程手法，使資安文化融入全體員工，後續將社交工程演練與教育訓練制度化，持續不間斷提升整體資安意識水平。
2022 年規畫逐步導入企業行動管理(EMM: Enterprise Mobility Management)，員工以行動裝置收發郵件或進行遠端連線作業時，依Need to know 原則進行權限最小化控管，並管制資料傳輸不落地，無法從外部將公司資料儲存至行動裝置中，以確實保護公司營運資訊及客戶個人資料。
為防範疫情變化，配合遵守相關防疫規範，2021 年度調整為一次災難復原環境檢測及相關應用系統復原演練，2022 年依規定進行兩次的災難復原演練，一次為資訊單位復原演練及一次資訊單位與前後台同步異地復原演練。用以讓企業內部的系統與資料，能有最佳的保護措施，藉由合理的手段與方法，盡可能地縮短系統中斷的復原時間，並且降低營運中斷所造成的資料損失。2022 年沒有因資訊設備問題遭受裁罰或遭受營運損失之事件。
有鑑於資訊安全為企業營運重大風險議題，為預防及因應資安事件可能帶來的衝擊，針對組織內所使用的資訊建構一個資訊安全管理體系，以妥善保護資訊的機密性、完整性和可用性，在企業追求持續營運之際，並符合國際標準之管理制度，以達成組織營運安全之目標，進而增強客戶信賴，成為最可靠的合作夥伴：
• 2021 年導入ISO 27001 資訊安全管理制度（ISMS）。並於2022 年通過複驗，以持續優化的態度維持國際認證的有效性。
• 2022 年通過支付卡產業資料安全標準PCI-DSS (Payment Card Industry Data Security Standard)，符合國際卡組織安全要求，確保持卡人資料在「傳輸」、「處理」、「儲存」三階段均安全保護，保障客戶個人資料安全及提升信心。
• 2023 年評估投保資訊安全保險，建立風險移轉，提升系統環境風險承受度。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。