25. Day25：2022年版潤泰創新永續報告書
    https://www.rt-develop.com.tw/tw/CSR/report

P25
社會面向風險：個資風險
風險說明 權責單位 因應對策
正確蒐集使用個資及保護個資避免外洩之風險。 土開部/專開部/地政部/業務部/規劃部/工管部/客服部/人力資源部/商場開發部/行銷企劃部/加盟事業部/總經理室/個人資料保護委員會 1.會員資訊：針對購屋客戶及商場會員資訊，驗證其適法性及資料保護有效性，保障消費者個資安全。
2.法令遵循：依循個人資料相關法令法規，並落實保護本公司所持有之個人資料，使個人資料之蒐集、處理及利用程序合於法令法規要求，防止因外在威脅、內部管理疏失或不當使用等風險，造成個人資料被竊取、竄改、毀損、滅失、洩漏或發生任何違法事件。

P48
4.3.3 資安管理與隱私保障
潤泰創新係由資訊處負責統籌資訊安全相關事項，包含相關政策之制定、執行、資訊風險管理等，並透過內部稽核單位進行遵循度查核，向董事會及審計委員會定期呈報資訊安全之運作成效。資訊處為有效落實資安管理，主要是依據PDCA (Plan-Do-Check-Act) 循環式管理模式，確保可靠度之達成且持續改善：

圖 25 1 潤泰創新資安PDCA流程圖
我們於2022 年新增資安長之職位，並成立資安小組，定期檢視外部資訊攻擊頻率及來源、評估資訊系統安全是否需升級，並針對三大面向資訊安全政策進行管理：

1. 制度規範：內部訂定相關資訊安全規範與制度，以規範本公司人員資訊安全行為，每年定期檢視相關制度是否符合法規與營運環境變遷，並依需求適時調整。
2. 硬體建置：本公司為防範各種外部資安威脅，除採多層式網路架構設計外，更採取各式資安防護措施，以提升整體資訊環境之安全性。
3. 人員訓練：每一年開設資訊安全教育訓練課程，所有同仁每年最少應修習前述課程一次，因工作關係而無法參與前述實體課程者，另設有資訊安全之線上講習課程，藉以提升內部人員資安知識與專業技能。同仁如未經由前述實體或線上課程完成該年度之資訊安全課程者，資訊處與管理部將列管追蹤，並列為年度考績之檢核項目。

P49
資訊安全相關具體執行措施
項目 具體管理方式
防火牆防護 1. 防火牆設定連線規則。
2. 如有特殊需求需額外申請開放。
3. 監控分析防火牆數據報告。
使用者上網控管機制 1. 使用自動網站防護系統控管使用者上網行為。
2. 自動過濾使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站
防毒軟體 使用多種防毒軟體，並自動更新病毒碼，降低病毒感染機會。
作業系統更新 作業系統自動更新，因故未更新者，由資訊處協助更新。
郵件安全管控 1. 有自動郵件掃描威脅防護，在使用者接收郵件之前，事先防範不安全的附件檔案、釣魚郵件、垃圾郵件，及擴大防止惡意連結的保護範圍。
2. 個人電腦接受郵件後，防毒軟體也會掃描是否包含不安全的附件檔案。
網站防護機制 網站有防火牆裝置阻擋外部網路攻擊。
資料備份機制 重要資訊系統資料庫皆設定每日完整備份、每小時差異備份。
異地存放 伺服器與各項資訊系統備份檔，分開存放。
重要檔案上傳伺服器 公司內各部門重要檔案上傳伺服器存放，由資訊處統一備份保存。
資訊中心檢查紀錄表 資訊中心檢查紀錄表紀錄機房溫濕度、資料備份、防毒軟體更新、網路流量等紀錄。

潤泰創新之資通安全通報程序如下，資安事故之通報與處理，皆遵守該程序之規範進行：
資安事件通報程序
發生資安事件確認事件真實性通報資訊人員
重大事故是通報資訊主管啟動應變程序
重大事故否啟動應變程序
尋求外部資源內部處理事件歸檔
尋求外部資源事故排除與後續狀況追蹤事件歸檔
尋求外部資源外部合作廠商協助處理事件歸檔
結案

機密資訊保護
個人資料保護委員會組織圖

圖 25 2 潤泰創新個資保護組織圖
為了提供完善之個人資料保護機制以保障客戶的權利，潤泰創新設置總經理室轄下之個人資料保護委員會，由各部門主管負責執行個資相關事項，且設有個人資料管理系統（PIMS）以確保客戶隱私安全，我們並於官網提供個資告知事項聲明，透過該聲明，確保客戶個人資料完整儲存於我們的資料儲存系統中，符合相關主管機關之要求，並設置保護措施防止未經授權人員之接觸。如因業務需要有必要委託第三者提供服務時（例如委託代銷公司銷售建案時），亦會嚴格要求其遵守保密義務，依公司規定簽署委外保密協議，要求委外廠商自主檢核並提供相關佐證資料確定在個人資料保護方面符合公司規定，後續並採取必要檢查程序以確定其將確實遵守。
我們絕對不會任意傳輸、出售、交換或以其他變相之方式，將顧客的個人資料揭露予其他團體或個人。惟有取得客戶依法之同意或配合司法單位或其他主管機關經合法正式的程序要求時，才會與第三者共用顧客的個人資料。如會計師在進行查核作業程序時，擬需查客戶的合約、查閱客戶資料等，即需提出申請。我們也一併取得銷售時客戶需簽訂個資使用同意書，代銷公司亦需要簽訂個資規定並遵守。2022 年個資當事人權利行使申請計8 筆，均係依公司規定由申請人透過個人資料權利行使申請表提出申請，並經個資管理組覆核確認後行使。
針對個資宣導，我們設有教育訓練宣導組負責員工個資保護訓練及宣導；鑑別所需遵循的法規及合約要求並維護「個人資料保護法令及法規現況一覽表」；擬定個資管理訓練及宣導計畫。我們的夥伴們均接受過完整之個資保密教育訓練及考試，充分瞭解用戶資料之保密為基本責任，如有違反保密義務者，將受相關法律及公司內部規定之處分。2022 年度依循資安管理流程，無侵犯客戶隱私或遺失客戶資料之情形發生。

P52
5.1.3 發展培育
員工教育訓練
我們每年編列預算辦理員工訓練，提升員工專業技能、領導統御能力及職涯發展包含TWI、MTP 等訓練課程，如2022 年開設資訊安全相關教育訓練課程，藉以提升內部人員資安知識與專業技能。同時鼓勵員工自我充實，參與外部舉辦之進修課程，鼓勵員工積極進修。
2022 年潤泰創新、潤泰旭展、潤泰百益、潤泰建設與潤泰創新開發整體員工教育訓練總時數為1,591 小時，平均每名員工接受教育訓練的時數為6.5 小時。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。