金色三麥餐飲事業群>資訊安全風險管理

:::

臉書分享 line分享推特分享微博分享複製網址

資訊安全風險管理

資通安全風險管理架構

本公司由總經理室召集跨單位主管組成資通安全維護小組，由資管處主管擔任資安專責主管，負責資安政策推動、風險評估及各項管理措施執行，確保資安管理體系有效運作。
本公司同時於114年3月10日經董事會通過資訊安全主管任命案，未來將定期向董事會報告資訊安全執行情形。

資通安全政策

本公司針對資訊安全管理，除設有相關內部控制制度及資訊安全管理作業規範，持續檢討與更新外，更於114年2月，進一步制定資訊安全管理系統（ISMS）相關程序及表單，以確保資通安全管理作業有效運作。
有關規範包含但不限於以下要點：

存取控制：所有系統存取皆須依內部程序申請，確保僅授權人員具備訪問權限。
密碼強度：帳號密碼設置需符合強度要求，並定期強制更換。
資料保護：透過加密技術及異地備份策略確保資料安全性與可用性。
風險評估：每年進行風險評估，針對潛在安全威脅與漏洞採取相應措施。

資通安全管理措施

設備安全與環境控制：

機房安全：公司重要伺服器與網路設備均存放於機房，實施門禁管制，非授權人員需由資訊人員陪同進入並登記於機房進出紀錄。
電力保護：機房配置穩壓與UPS不斷電設備，確保短暫停電不影響系統運作。
環境監控：機房裝設溫溼度自動監測系統、消防設備及監視器，並定期檢查。

網路安全與病毒防護：

防火牆與網路安全：企業網路入口處配置防火牆，嚴格控制網路訪問，並定期更新防火牆軟體以應對最新威脅。
端點保護：伺服器和終端設備安裝端點防護軟體，定期更新病毒碼，以阻止病毒與惡意程式入侵。
郵件安全：郵件伺服器設有防毒與垃圾郵件過濾，並採黑白名單機制管控郵件流通。
數據傳輸安全：採用專線VPN進行各分支間資料傳輸，並針對公司Wi-Fi區分內部及客用網路。

系統存取控制：

帳號管理：員工需透過內部程序申請系統權限，確保僅授權用戶可存取敏感資訊。
密碼保護：密碼設置符合強度要求，並定期強制更換，提升帳號安全性。
帳號維護：員工離職或長期休假時，經資管處審核後即時停用或刪除系統帳號。
VPN 管理：外部連線VPN需經申請審核並控管。

資料備份與災難復原：

備份管理：建立備份管理系統，採用多份備份策略（本地及異地），確保資料完整性與可用性。
異地備份：備份資料採異地儲存，並設定自動備份計劃。
災難復原演練：每年進行系統災難復原模擬測試，檢測應變及復原能力，確保營運不中斷。

資安宣導與教育訓練：

本公司推動資通安全教育訓練，涵蓋以下內容：

新人訓練：新進員工職前訓練即納入資料保護課程。
在職進修：針對員工定期進行資安宣導及教育訓練，不定期發送資安宣導郵件及公告。
社交工程演練：進行釣魚郵件測試，評估員工對網路釣魚風險之辨識與應對能力。
外部培訓與交流：積極參與外部機構舉辦之個資管理或資安宣導說明會。

風險評估與管理：

年度風險評估：每年針對資訊系統進行風險評估，識別潛在安全威脅與漏洞。
內外部稽核：定期進行自我評估、內部稽核作業，並委委託外部會計師依內部控制制度專案審查，針對電腦化資訊系統管理循環（含資通安全相關控制）執行查核。
政策與程序優化：針對檢查結果及風險評估結果，適時修訂資安政策與管理程序。

資源投入

硬體資源：

公司總部及各門市均配置防火牆及VPN，機房設置UPS不斷電設備及刀鋒式伺服器。
建置多層次的入侵偵測與防禦機制，包含防火牆之入侵偵測系統、端點主機入侵偵測與預防機制，偵測與攔阻未經授權設備或異常存取行為。

軟體資源：採用 Microsoft Office 365 進行垃圾郵件過濾，伺服器安裝防毒軟體並定期更新，內部系統採用備份軟體定期進行本地及異地備份。
威脅情報整合：加入資安情資分享組織，接收即時資安威脅情報，提升風險預警能力。
弱點掃描、滲透測試：委託專業機構協助進行弱點掃描、滲透測試，降低系統漏洞風險。
資料傳輸加密驗證保護：採用傳輸加密技術（SSL）確保敏感資料安全。

金色三麥餐飲股份有限公司（以下簡稱本公司）為尊重您個人資料之隱私權及保護您使用本網站之網路安全，謹以下列聲明（以下簡稱本聲明），向您說明本網站於線上蒐集您個人資料之目的、方式、範圍、運用以及就您所提供之個人資料得行使之相關權利等事項。您在使用本網站時，應詳細閱讀並遵從本聲明，當您繼續使用本網站服務時，即視為已閱讀、瞭解並完全同意本聲明的所有約定，且同意本公司蒐集、處理及利用您的個人資料，如您不同意本聲明之內容，您應立即停止使用本網站。

「隱私權聲明」適用範圍
一、本聲明適用於本網站之平台與網域，以及您參與本網站活動時，所涉及的個人資料之蒐集與運用。
二、當您透過本網站提供之其他網站連結瀏覽該等網站時，您將會離開本網站，故就您相關權益之保障，概適用該等網站之規範，而與本網站無涉，本網站亦不負連帶責任。

個資告知事項
本公司依據中華民國個人資料保護法規定，向您告知事項如下，請務必詳閱：

一、個人資料蒐集之目的本網站蒐集您的個人資料，主要目的條列如下，惟為提供個別服務時，本網站亦可能於下述目的外利用個人資料，但於此等利用時將另行載明之。
1. 行銷。
2. 非公務機關依法定義務所進行個人資料之蒐集處理及利用。
3. 消費者、客戶管理與服務。
4. 稅務行政。
5. 網路購物及其他電子商務服務。

二、蒐集之個人資料類別本網站於網站內蒐集之個人資料類別如下：
1. 識別個人者：姓名、住址、住家電話號碼、行動電話、電子郵件地址等。
2. 個人描述：年齡、性別、出生年月日等。
3. 住家及設施：住所地址。
4. 生活格調：使用消費品之種類及服務之細節、個人之消費模式。

三、個人資料取得與使用之方式
1. 本網站在您使用訂位系統、訂閱電子報、會員註冊或依據本網站所提供的服務或所舉行的活動之需求，請使用者提供個人資料。
2. 於一般瀏覽時，伺服器會自行記錄相關行徑，包括您使用連線設備的 IP 位址、使用時間、使用的瀏覽器、瀏覽及點選資料記錄等，做為我們增進網站服務的參考依據，此記錄為內部應用，絕不對外公佈。
3. 除下列情形外，非經您的同意或其他法令之特別規定，本網站絕不會將您的個人資料揭露予第三人或使用於蒐集目的以外之其他用途。
(1)本公司與其他第三者合辦活動時，需與該第三者共用、傳遞您的資料，方能提供您相關的服務。使用者應自行斟酌是否參與該活動，如您選擇參與該活動，即表示您瞭解並同意將個人資料提供予合辦或協辦之第三者。
(2)本公司若因法律規定、法院命令、行政調查或其他法律程序的要求，而必須提供您的資料。

四、個人資料利用之期間
除本聲明另有約定者外，您可隨時終止您與本公司之會員關係。利用之期間為本公司及受託單位於您成為會員之起始日起，至您請求本公司停止蒐集、處理、利用或刪除您的個人資料之日止。

五、個人資料利用之地區本國、與本公司有業務往來之機構營業處所所在地。

六、個人資料利用之對象本公司、本公司之關係企業、相關受託機關、委外之合作廠商、本公司共同行銷或合作推廣對象，及依法有調查權之機關或主管機關為您個人資料利用之對象。

七、個人資料之保護本網站主機均設有防火牆、防毒系統等相關的各項資訊安全設備及必要的安全防護措施，加以保護網站及您的個人資料採用嚴格的保護措施。本網站將使用相應的技術，儘量防止您的個人資料遺失、被盜用或遭篡改，惟因非可歸責於本網站之事由導致您的個人資料遺失、被盜用或遭篡改者，本網站不負任何連帶責任。本網站傳送商業性資料或電子郵件時，除了在該郵件上註明發送人資訊，亦會在資料中提供顧客停止接收該訊息之方法、說明或功能連結。

八、個人資料之權利行使在不違反相關法律的情況下，經本網站確認該個人資料為您本人所有後，您可透過此網站與我們聯絡或 E-Mail 至服務信箱，依個人資料保護法對本網站告知行使以下權利。惟如拒絕提供本網站所要求之必要資料者，將可能無法完整享受本網站之服務或完全無法使用本網站之服務：
1. 請求查詢或閱覽您的個人資料
2. 請求製給您個人資料的複製本
3. 請求補充或更正您的個人資料
4. 請求停止蒐集、處理或利用您的個人資料
5. 請求刪除您的個人資料

九、本公司傳送商業資訊或電子郵件之聲明本公司將在事前或註冊登錄取得您的同意後，傳送商業性資料或電子郵件給您。除了在該資料或電子郵件上註明是由本公司發送，也會在該資料或電子郵件上提供您能隨時停止接收這些資料或電子郵件的方法、說明或功能連絡。

十、Cookie 之使用 Cookie 是由網站伺服器透過使用者在瀏覽網站時寫入使用者電腦硬碟的小型資料檔，用來確認使用者的身分以及存取與使用者相關的帳戶資料。為了提供您最佳的服務，本網站會在您的電腦中放置並取用我們的 Cookie，以追蹤您在本網站的活動，協助本公司進行站台的各種分析、資料蒐集，進而提供您更好的服務。若您不願接受本網站的 Cookie 寫入，您可在您使用的瀏覽器之功能項中，設定隱私權等級為高，即可拒絕 Cookie 的寫入，但可能會導至本網站部分功能無法正常執行。

十一、隱私權聲明之修正本聲明將因應相關法規修訂、本網站政策或其他環境變遷因素，隨時進行適當之修正，修正後的條款將更新於本網站上以告知顧客相關事項。

若您對本網站的隱私權聲明有任何疑問，歡迎隨時透過此網站與我們聯絡或 E-Mail 至服務信箱。