台灣企業永續獎-台灣企業永續獎 單項績效 - 資訊安全領袖獎:服務業、資通訊傳播業、醫院
財團法人中華民國佛教慈濟慈善事業基金會
慈濟資安管理框架升級,創新非營利資安典範
慈濟基金會致力於建立制度化及系統化的資訊安全管理體系,以提升全員的資訊安全意識與技術能力。基金會通過ISO 27001:2022驗證,涵蓋勸募資訊系統及機房維運。資訊人員每年需接受至少6小時的資安教育訓練,其他同仁則需3小時,並透過影片及社交工程演練提升安全意識。社交工程演練的釣魚連結點閱率逐年下降,顯示安全意識顯著提升。慈濟每年編列的資訊預算,其中資安預算用於建置多項資安平台,並設置資訊安全委員會,確保高層重視資安推動與人才培育。供應鏈管理方面,合約中加入保密協議,供應商需遵守資通安全守則,並進行績效評估。慈濟強化資安建置,針對個資與會員資料密集的關鍵系統環境優先建置IPS、DDoS、WAF及NDR與全面建置EDR進行7x24異常行為監控。資訊資產管理系統統一登錄,並強化存取控制安全。全面安裝防毒與EDR偵測軟體,並建立資訊安全事件通報及事故管理系統,確保能有效應對安全事件。針對ISO 27001 驗證之業務範圍每年執行業務持續計劃,進行災害復原演練,確保業務持續性。慈濟基金會以有限資源創造最大效益,為非營利組織的資安管理樹立新標竿。