2024年績效與亮點(G)
- 各港港埠業務座談會蒐集之議題皆無發生資訊洩漏、失竊或遺失客戶資料事件。
- 通過第三方驗證,取得ISO27001:2022國際資安認證。
- 為控管出租場域之資安風險,港務公司已將資安規範納入契約範本。
- 資通安全長主持1次管理審查會,達成ISMS(IS-TW-04-003)有效性量測表各項指標,並訂定2025年度(IS-TW-04-003-ISMS)有效性量測表之指標。
- OT系統管理員及其直屬主管參加「交通領域工業控制系統資安職能地圖共同課程」共計48人,取得證書人數為41人,達成率為85%。
- 無客戶隱私受侵害之客訴案件。
對應SDGs
- SDG9【SDG 9.c】
- SDG17【SDG 17.17】
管理方針
涵蓋之重大議題
- 資訊安全與客戶隱私
- 客戶服務品質
政策
- 資訊架構
- 資安教育訓練【客戶意見管理】
管理評量機制
- 資安風險管理
- 資安教育訓練【客戶意見管理】
資訊架構
尊重客戶隱私,對於客戶資料蒐集、處理及運用等,皆遵循2023 年頒布的「個人資料保護法」及2018年頒布的「資通安全管理法」,並致力於維護資訊環境之安全以保護客戶資料安全,持續強化港務公司資通安全防護能力及建立完整之資通安全政策,設立資安專職人員,並組織資通安全管理委員會,另於2024 年通過ISO 27001:2022 轉版認證,透過落實ISO 27001 國際資通安全標準,持續精進資通安全管理制度,並有效落實內控機制,以盡客戶隱私保護之責任。本公司資通安全情勢定期檢視與通報,每季向總經理報告,每半年向董事會報告。
港務公司資通安全政策
-
落實程序管理
-
遵循法規規範
-
預防重於應變
-
確保資通安全
.png)
港務公司資通安全管理委員會架構
資安風險管理
港務公司依據 ISO 27001 標準,每年進行內外部稽核。由資通安全長召集資安管理委員會,召開年度管理審查會,檢視資安指標執行情形,並擬定次年度目標,確保管理系統持續改善。
作為「資通安全管理法」特定非公務機關,港務公司依法納管,若違反第二十或二十一條規定,將由交通部處以罰鍰。為降低港區資安風險,自2022 年起已將相關資安規範納入場域租賃契約範本,加強承租方資安責任。
因應客戶申辦作業及計費流程電子化,港務公司依 ISMS 標準每年辦理資產盤點與風險評鑑,涵蓋可用性、完整性與機密性三大面向。針對風險值超出可接受範圍者,訂定風險處理計畫並執行,以降低潛在衝擊,強化客戶資料與交易隱私保護,2024 年風險評鑑結果無超出可接受風險值。2024 年未接獲任何侵犯客戶隱私之投訴,顯示公司資安管理制度有效落實。
港務公司訂有委外資通安全條款,作為內部辦理資通訊設備、軟體或資通服務等採購作業之依循,條款中明確規範廠商應遵守港務公司各項資安規定,包含如下:
|
事件發生時間點 |
因應措施 |
|
廠商知悉隱私資料有外洩疑慮等資安事件後 |
應於指定時間內通知港務公司並處理完成 |
|
廠商如執行業務需進入港務公司機房或連線內部網路 |
須依規定填列申請表單,並由港務公司專人陪同或監控相關活動。 |
|
廠商人員於支援業務時所獲知資訊,非經港務公司授權 |
不得對第三方透露 |
|
雙方委託關係終止或解除時 |
廠商應確認已返還、移交、刪除或銷毀履行契約而持有之資料,充分保護客戶隱私。 |
港務公司設立之「全球資訊網」亦依循隱私權政策,讓瀏覽網頁者能夠安心使用本網站的各項服務與資訊,在網站活動時,所涉及的個人資料蒐集、運用與保護,網站有義務保護申請人隱私,非經本人同意不會自行修改或刪除任何個人資料及檔案,提供瀏覽網頁者之資訊安全保護。
資安教育訓練
港務公司依據「資通安全管理法」辦理資通安全教育訓練,2024 年資安專職人員每人每年均接受12 小時以上之資通安全專業課程訓練、資通安全專職人員以外之資訊人員每人每年至少接受3小時以上之資通安全專業課程訓練、一般使用者及主管每人每年均接受3 小時之資通安全通識教育訓練,2024 年訓練完成率100%,以強化資通安全,降低個人資料侵害事件可能帶來之衝擊。 2024 年無發生經實證之資訊洩漏、失竊或遺失客戶資料事件。
客戶意見管理
港務公司秉持「加強與業者互動、政策溝通」的政策,透過以下方式進行客戶意見及服務品質管理:
- 對客戶意見加以追蹤管理,並妥適處理。
- 落實客戶意見管理,並確保客戶資料安全且未發生資訊洩漏、失竊或遺失客戶資料事件。
- 各分公司透過定期舉辦之港埠業務座談會機制,蒐集「顧客的健康與安全」相關議題,錄案定期檢討。
2024 年並無發生重大客訴意見,港務公司已舉辦10 場次港埠座談會、顧客的健康與安全議題7 項,已完成回應。各港埠業務座談會蒐集之議題皆無發生資訊洩漏、失竊或遺失客戶資料事件。2024 年資安監管做法依據主管機關指導滾動式調整。