卓越服務

個資隱私保護管理政策

遠傳的個資與隱私保護政策遵照國內法令《個人資料保護法》、《個人資料保護法施行細則》、《國家通訊傳播委員會指定非公務機關個人資料檔案安全維護辦法》規定及參考歐盟《一般資料保護規則》(General Data Protection Rule, GDPR) 對於隱私資訊的保障趨勢，落實隱私始於設計 (Privacy by Design) 和保護資料始於設計 (Data Protection by Design) 等基本原則。遠傳隱私權保護政策規範適用於遠傳整體營運流程、供應商與合作夥伴。遠傳全體員工皆須遵循遠傳訂定之《個人資料與隱私資訊蒐集、處理、利用管理辦法》，要求蒐集個人資料與隱私訊時應符合公司已核定蒐集目的與範圍，並進行當事人個人資料與隱私資訊蒐集告知。如發現員工違反相關政策和規定，遠傳依照工作守則執行必要之懲處，並視情事採取相關之法律措施。(詳細內容請參閱本公司官網隱私權政策)

資訊安全與個資隱私管理組織

為展現對資訊安全與客戶隱私的重視與承諾，遠傳設有資通安全組織。更於113年5月3日董事會通過調整「風險管理委員會」為「風險管理暨資訊安全委員會」，定期審查資訊安全與隱私保護策略、重點計畫及管理成效。此外，管理組織亦包含總經理、企業安全委員會、營運安全委員會之所有事業群代表。並設置資安專責單位-資安辦公室及資通安全長。資安長由總經理指派，直接向總經理報告。藉由各級委員會於所屬事業群內推動及宣導資通安全與個資安全相關事務，及協調跨事業群資安維護之權責與分工，以確保全公司整體資訊安全之落實管理與維運。

資訊安全與風險管控機制

遠傳整體風險管理體系包含資訊安全與個資隱私管理，因應網路新興科技世代( 含5G、大數據、AI、物聯網、雲端/ 虛擬/ 容器化技術) 帶動的數位轉型，新業務、新架構、新技術間與既有網路的整合及與第三方以多種模式合作跨領域及跨產業創新應用，對於資訊安全及個資隱私保護等將帶來新的挑戰。有鑑於此，於既有安全管理基礎上，持續於網路建置、運作與營運管理強化技術面、管理面與人員面防護機制，並隨時因應需求調整資源配置，以確保資訊安全、個資保護、營運持續及其它安全相關領域管理推行與落實。

為提供良好和安全的體驗，遠傳電信自主研發智能監控平台，內建多維度可視化儀表版及客製化威脅偵測規則，更加準確定位安全風險，協助資安人員在駭客前期發動探測及造成可能的威脅前，採取主動防禦阻擋，並設置專責資安防護團隊及24小時資安監控中心（SOC），成員包含超過10年以上資安經驗且具有CEH等資安證照的專職人員，每年定期執行弱點掃描、原始碼檢測、滲透測試等資安檢測，若發現相關弱點，依規定時限內完成修復弱點並須通過複測。

遠傳資訊安全監控體系涵蓋資訊暨科技安全、人員安全、實體及環境安全，以及客戶個人資料保護等四大控管項目，各項目管控重點說明如下：

資訊暨科技安全	人員安全	實體及環境安全	客戶個人資料保護
定期檢視、評估資安營運 風險 全員資訊安全能力養成 政策與規範文件化、符合 性確認和驗證	聲明員工安全責任 「保密承諾書」或法 律效力之文件簽署與管理	建立安全區域等級劃分制度 及人員識別系統 完善保全實體資產及環境安全 之防護系統、服務及程序	訂立客戶個人資料蒐集、處理、 利用及檔案安全維護作業相關規範 規劃認知宣導、教育訓練、 計劃稽核及改善程序

2023 年遠傳資訊安全與個資管理認證

為確保各階段資訊安全管理與個人資料保護機制的適切性與有效性，遠傳內部除透過稽核處定期進行資安及個資隱私作業的監督與查核外，亦持續關注國際趨勢與標準要求，每年透過外部第三方機構進行國際標準驗證，積極檢視與持續精進。並將 PDCA 循環精神融入在公司文化及日常維運中，確保達成「零」資安事故目標。此外，每年亦會擇定系統，由第三方資安檢測廠商定期進行第三方漏洞分析和滲透測試，包括模擬駭客攻擊，找出可能的潛在風險，並持續強化整體的安全保護機制。另外亦透過社交工程模擬演練持續提升人員資安防護意識，以減少人員疏失及提升主動防禦量能。

2023 年度稽核處已分別於第一季及第三季針對資訊安全與個人資料保護管理機制進行查核，獨立第三方驗證機構亦於第二季完成ISO 27001 等資安管理及BS 10012 個資保護相關驗證( 證書皆持續有效)，其中ISO 27001 範圍涵蓋所有資訊基礎設施。此外，遠傳持續檢視與優化流程，以期提供消費者更優質的服務與更完善的安全及保護。