由於數位轉型是和運租車的重要策略方向,而資訊安全在其中扮演核心角色。公司對內全面改版官網及相關應用程式,並加強數據整合機制,確保安全性與操作效率同步提升;利用人工智慧技術,完善智能客服功能,降低了人工處理敏感數據時可能帶來的風險。因此,本公司視資訊安全為企業競爭力的重要環節,將其納入數位轉型藍圖的關鍵目標之一,通過持續優化和技術升級,應對不斷變化的外部挑戰。 資安管理政策與管理架構 和運租車已建立資通安全管理組織,由資訊部部長擔任資通安全長,審核本公司資訊安全管理制度目標及實施範圍、主持管理審查會議並對重大事項作出決定或仲裁;聘請資安專業人員擔任資通安全顧問,提供與資通安全管理與技術領域相關之指導與諮詢建議。由營運技術室權責主管擔任執行秘書,負責對資通安全狀況進行預警、監控,並對資通安全狀況與事件進行處置。資訊人員則依任務編組擔任 「資通安全處理小組」與「資通安全稽核小組」,其中,資通安全處理小組負責監控、應變與處理資訊安全事件,確保資訊資產在發生威脅時能夠迅速回應與恢復正常運作;資通安全稽核小組則負責資訊安全管理系統(ISMS)的內部稽 核與合規審查。每年執行內部稽核後,召開管理審查會議,定期向資通安全長報告。本公司於 2024 年導入 ISO27001 管理系統,持續改善資安管理制度,並已於 2024 年 8 月取得外部認證。
資安應變管理 和運租車每年至少進行一次資安災難復原演練,以提升團隊應變能力,確保在發生資安事件時,能夠依照標準作業流程(SOP)迅速應對。同時,透過測試備份與復原機制,驗證其在實際情境下的有效性,確保關鍵系統能夠順利恢復運作。演練過程中亦會模擬攻擊或系統失效,以找出資安策略與技術上的潛在漏洞,並即時修補,以強化整體資安防護能力。 為進一步強化資安管理,公司已建置資安與個資侵害事件的通報與應變機制,明確規範事件分類、等級劃分及應變處理流程。一旦發生資安事件,將依據事件影響等級,在規定時限內完成損害控制或復原作業,並於事件處理後進行根因分析、採取矯正措施,以防止類似事件再次發生。
個人資料保護 在個人資料保護方面,和運租車已成立「個資事務局」,該事務局為一任務編組,由資訊部部長擔任局長,主要權責包括與主管機關之個人資料保護業務協調聯繫及緊急應變通報、個人資料安全事件之通報,及接洽個人資料當事人行使相關權利之業務等。本公司並已遵循《個人資料保護法》等相關法規,制定「個人資料管理政策」,明確規範個資蒐集、處理、利用及保護機制。 和運租車在蒐集客戶資料時遵守資訊最小化原則,僅蒐集提供服務所需的必要資訊;客戶可透過便捷的管道查詢、更正或刪除其個人資料,享有完全的資料透明度與控制權。所有資訊均經過先進加密技術處理,並以分層訪問控制機制確保只有授權人員可接觸敏感資料。針對數據的存儲與刪除,公司設定明確的保存期限,並在期限到期後進行安全銷毀,以防止任何未經授權的使用。此外,每年定期執行個資清冊盤點與風險評鑑,落實每年定期舉辦之員工個資保護教育訓練,委外服務廠商須簽署個資保護條款及保密協議。
強化資安意識 和運租車深知資訊安全與個人資料保護離不開全體員工的共同努力,故本公司已將資安及個資保護列為員工年度必修課程,以持續強化員工對資訊安全的重視。新進人員於到任時需完成個資與資安必修課程,藉以建立資安基礎認知並了解公司相關政策規範,輔以測驗機制以確認訓練之有效性,2024 年新進人員100% 完成訓練;全體在職員工亦執行定期的資訊安全與個人資料教育與訓練,從基礎的資安意識到高階的技術應用,涵蓋了不同職能人員的需求;並由資訊部派員參加「 ISO27001:2022 資訊安全管理系統主導稽核員」訓練課程(40 小時),協助公司進行自我檢查與改善 ,確保公司符合認證標準要求。此外,為持續提升資安風險意識,和運租車透過每年度對全體同仁之電腦普查,進行電腦與設備安全、網路安全、軟體與應用程式安全、資料存取權限等項目的資安稽核,亦不定期發送資安電子報,藉由資安時事新聞與新知分享,宣導並傳達集團最新的資安規定與注意事項。