INFORMATION SECURITY · 資訊安全聲明

實體安全的公司,
資訊安全上也不該有例外。

最後更新:2026-04-21 適用於本公司全部資訊系統與雲端服務
ISO 9001 ISO 14001 ISO 27001 ISO 45001

華辰保全股份有限公司(下稱「本公司」)自 1997 年起,即以守護客戶人員、資產與資訊為業務核心。本聲明說明本公司為保護自有系統、客戶資料及受託監控之影像/事件資訊,所採行之資訊安全治理與技術控制措施。

§1 資安政策承諾

本公司資訊安全管理以 ISO/IEC 27001 資訊安全管理系統架構為基礎,並依據《個人資料保護法》及客戶所屬產業之法令(如金融業、醫療業、公部門之資安要求)逐年滾動調整。核心承諾包含:

  • 機密性(Confidentiality):僅授權人員得以存取客戶資料。
  • 完整性(Integrity):確保資料與影像紀錄未遭未經授權之變更。
  • 可用性(Availability):維持服務與警報處理之連續運作。
  • 可追溯性(Accountability):關鍵操作有日誌可稽核追蹤。

§2 組織治理

  • 資訊安全委員會:由總經理召集,資訊、法務、營運、各事業部代表參與,每季召開一次。
  • 資安長(CISO):負責資訊安全政策、風險評估與事件應變指揮。
  • 年度獨立稽核:每年委由第三方稽核單位進行 ISMS 稽核,稽核報告向高階管理層提報。
  • 內部稽核:每半年由內部稽核小組進行跨部門抽樣稽核。

§3 技術面控管

3.1 網路與傳輸

  • 官網、客戶登入與表單傳輸全程採用 TLS 1.2 以上加密。
  • 管制中心與各服務據點間之影像、警報訊號,透過專線或 VPN 加密通道傳輸。
  • 對外邊界佈署次世代防火牆(NGFW)與入侵偵測/防禦系統(IDS/IPS)。

3.2 存取控制

  • 所有系統採最小權限原則(Least Privilege)配置。
  • 管制中心值機系統與客戶端管理平台啟用雙因素驗證(2FA)。
  • 特權帳號使用堡壘機集中管理並全程錄影。
  • 人員異動(離職、調職)當日完成權限回收或調整。

3.3 資料加密與備份

  • 資料庫敏感欄位採用欄位級加密(AES-256)。
  • 重要系統採異地備援,關鍵資料每日自動備份,每月進行還原演練。
  • 攜出媒體(USB、行動硬碟)一律加密;重要文件限使用加密檔案傳輸平台。

3.4 弱點管理

  • 對外系統每季進行弱點掃描,每年至少一次由第三方執行滲透測試
  • 關鍵漏洞(CVSS ≥ 7.0)於 72 小時內修補或以補償性控制降風險。
  • 訂閱國家資安資訊分享與分析中心(TWNCERT、TWCERT/CC)之威脅情資。

§4 管理面控管

  • 人員保密義務:全員簽署保密協議(NDA),條款效力延續至離職後。
  • 年度資安訓練:全員每年完成至少 3 小時資安與個資保護訓練,技術人員另加專業訓練。
  • 社交工程演練:每年辦理至少一次釣魚郵件演練。
  • 背景調查:駐衛警與值機人員進場前進行法定背景查核。
  • 分權分責:系統開發、測試、上線、稽核職務分離。

§5 客戶資料保護

  • 系統隔離:不同客戶之影像、事件資料以邏輯或物理方式隔離。
  • 存取稽核:所有對客戶資料之讀取、匯出操作留存稽核日誌,保留不少於 1 年。
  • 資料去識別化:用於訓練 AI 模型或內部分析之資料,均經去識別化處理。
  • 契約終止:契約終止後依客戶指示,於合理期間內完成資料歸還或銷毀,並出具銷毀證明。

§6 事件應變

本公司建立 24 小時資安事件應變機制。事件處理流程包含:

  • 偵測與通報:由 SOC / MDR 服務或自動化監控發現異常,第一時間通報資安長。
  • 初步遏制:隔離受影響系統,保全跡證。
  • 調查與根因:由內部團隊或外部事件處理廠商協助根因分析。
  • 法定通報:涉及個資外洩時,依《個資法》於查明後儘速通知主管機關與當事人。
  • 客戶告知:如涉及客戶資料,依契約約定時限主動告知客戶窗口。
  • 檢討改善:事後召開檢討會議並留存事件報告。

§7 第三方與供應商管理

  • 新增雲端服務商或系統整合商前,進行資安評估(含 ISO / SOC 2 證明、資料居留地、委外處理範圍)。
  • 契約要求供應商採行不低於本公司之資安標準,並同意本公司或客戶進行稽核。
  • 每年針對關鍵供應商進行一次契約與資安重檢。

§8 漏洞通報(Responsible Disclosure)

本公司歡迎資安研究人員協助發現系統漏洞。若您發現本公司網站、App 或雲端服務之可疑弱點,請勿公開揭露或利用該漏洞攻擊實際系統,改以下列管道通報:

  • 通報信箱:security@worldtrend.com.tw(正式版啟用)
  • 請提供:漏洞類型、重現步驟、影響評估、您的聯絡方式。
  • 本公司將於 3 個工作天內確認收件、30 天內回覆處理進度。

對於符合 Responsible Disclosure 原則之有效通報,本公司將於內部致謝名單公開感謝研究者(除非研究者要求匿名)。

§9 聲明修訂

本公司得依法令變動、技術演進與業務調整修訂本聲明;重大修訂將於本頁公告。本聲明不取代您與本公司所簽訂之保密協議或資料處理協議(DPA);各該協議優先於本聲明適用。

§10 聯絡方式

華辰保全股份有限公司 · 資訊安全長辦公室
24H 服務專線:(02) 2270-2727
資安通報:security@worldtrend.com.tw(正式版啟用)
個資窗口:privacy@worldtrend.com.tw(正式版啟用)
原型版本說明:本頁為官網原型 v4 之聲明初稿,實際條款最終版本將由資安長與法務審閱後正式公告。ISO 標章僅於實際取得時使用;尚未取得者將於正式版移除。