公司簡介 公司治理 企業社會責任 利害關係人專區 財務資訊 股東情報 行銷網站 聯絡我們

資訊安全治理制度

 

資訊安全治理制度

全國加油站為遵循我國資訊安全管理法、個人資料保護法及其他相關法令,並保護本公司資訊資產(包括但不限於資料、軟體、硬體設備等)及個人資料之安全,防止因外部威脅或內部管理失當,致使資訊資產或個人資料被竊取、竄改、毀損、滅失或洩漏,於104年11月成立資安暨個資管理委員會,並依據ISO規範制定資訊安全暨個人資料保護管理政策以作為遵循依據,每年亦定期向董事會報告資通安全及個人資料保護作業遵循情形及稽核狀況,本(108)年度並於12月25日向董事會報告「資訊安全治理」運作情形。

職 稱 工 作 職 掌
資安暨個資管理總召集人
  1. 由總經理擔任。
  2. 為本公司個人資料管理之總負責人,負責管理個人資料並承擔相關責任。
  3. 提供建立、實行、運作、監督、審查、維持及改善個人資料管理系統所需資源。
資安暨個資管理推動委員會主席
  1. 由營業本部協理擔任。
  2. 每年或發生重大變更時召開管理審查會議,審查個人資料管理系統並確保其適切性、充足性及有效性。
  3. 審核本手冊及個人資料保護管理政策。
  4. 設定或變更可接受風險程度、個人資料風險評估項目及標準。
  5. 審查本公司個人資料風險評估及管理報告。
  6. 審核個人資料安全稽核報告。
  7. 審查個人資料侵害事故檢討報告。
資安暨個資管理推動委員會
  1. 由各部門主管擔任。
  2. 為本公司個人資料管理之內部代表,負責監督本公司平時遵循個人資料保護管理政策之情形。
  3. 每年或發生重大變更時召集管理審查會議。
  4. 推廣本公司個人資料保護管理政策。
  5. 確保本公司個人資料保護管理政策之執行。
  6. 依照本公司個人資料保護管理政策之要求,實施教育訓練與認知宣導。
  7. 發佈、解釋、修訂、廢止本手冊及個人資料保護管理政策。
  8. 審核、發佈、解釋、修訂、廢止本公司個人資料管理系統相關辦法、細則及其表單。
  9. 聯繫本公司負責風險管理及安全議題之人員。
  10. 提供我國個人資料保護相關法令及最佳實務之專業建議與指引。
  11. 解釋並適用我國個人資料保護相關法令所定例外情形。
  12. 針對資料分享方案(包括資料攜出之安全議題)提供建議。
  13. 確保本公司取得我國個人資料保護相關法令之最新消息與適當指引。
  14. 考量個人資料保護相關立法、實務及技術變更等因素,持續檢查本公司個人資料管理系統。
  15. 本公司適用於強制性或建議性部門規章中個人資料保護相關規定時,將其要求適度反映在本公司個人資料管理系統。
規劃與推廣小組
  1. 由各部門推派人員擔任。
  2. 製作並定期維護本公司資安暨個資管理組織之名冊。
  3. 擬定年度個人資料保護教育訓練與認知宣導計畫,並實施個人資料保護教育訓練與認知宣導。
  4. 協助資安暨個資管理代表辦理各項工作職掌。
風險管理小組
  1. 由資訊、財務、稽核、客服派員擔任。
  2. 彙整各單位個人資料盤點作業之結果,評估個人資料檔案之風險程度,並作成個人資料盤點暨風險評估清冊。
  3. 彙整各單位所擬定之風險處理計畫,並作成個人資料風險評估及管理報告,送資安暨個資管理推動委員會審查。
  4. 協助資安暨個資管理代表監督遵循情形及針對資料分享方案(包括資料攜出之安全議題)提供建議。
稽核小組
  1. 由資訊、財務、稽核、行銷派員擔任。
  2. 協助資安暨個資管理代表監督本公司平時遵循個人資料保護政策之情形。
  3. 擬定年度個人資料安全稽核計畫,制定稽核準則,並選定適當資格之稽核員。
  4. 每年執行個人資料安全稽核作業,並作成個人資料安全稽核報告,送資安暨個資管理推動委員會審查。
各單位資安暨個資業務負責人
  1. 為本公司各部門之個人資料保護代表,負責協助資安暨個資管理代表監督本公司平時遵循個人資料保護政策之情形。
  2. 協助規劃與推廣小組實施個人資料保護教育訓練與認知宣導。
  3. 定期執行個人資料盤點作業。
  4. 定期檢視並維護個人資料盤點暨風險評估清冊。
  5. 擬定風險處理計畫送風險管理小組彙整。
  6. 執行風險處理計畫。
  7. 受理並回覆當事人權利行使之請求。


資訊安全政策
為達成本公司任務目標及最高管理階層對資訊安全之期許與要求,確保本公司資訊資產安全,資訊安全政策訂為:
  • (一)確保本公司相關業務資訊之機密性,防止本公司敏感資訊及民眾個人資料外洩與遺失。
  • (二)確保本公司相關業務資訊之完整性與可用性,以正確執行本公司作業與各項業務。


資訊安全管理機制
為達此目標,除制定安全管理辦法、人員教育訓練外,並盤點公司所有資訊、個資,加以定義識別,以釐清資訊資產所可能面臨的風險,再選取適當的方法加以管控,期許將風險降低到可承受的程度,以確保公司業務持續運作。並搭配各式管理工具,於發生問題時主動通報,使問題均被加以紀錄與追蹤管理;對不符合項目採取矯正措施以控制並矯正之,並處理其相關後果,找出不符合項目其發生原因並消除之使其不再發生。考量公司資訊作業現況及根據以往經驗,資安風險仍在現有資安防護可控範圍內,尚不考慮投保資安險。為因應未來日趨險峻的資安威脅可能造成的企業損失,將持續強化資訊安全防護管理及考量移轉風險可能性。