一、資通安全風險管理架構

本公司設立資安專責主管及團隊，負責資通安全策略的規劃、制定及執行，並定期檢討資安政策。

董事會下屬的稽核室為資通安全的監督單位，負責監察內部資安執行情況，每年定期向董事會報告資通安全管理的執行狀況。 如發現問題，將要求相關單位提出改善計畫並定期追蹤效果，以降低內部資安風險。

組織運作模式結合定期稽核與循環管理，確保可靠度目標的達成及持續改善。  

二、資通安全目標

目標在於確保核心系統管理業務的機密性、完整性、可用性與法遵性。

(一)   機密性(Confidentiality)：避免任何敏感資訊洩露於網際網路。

(二)   完整性(Integrity)：確保敏感資料的正確性。

(三)   可用性(Availability)：確保重要資料的正確備份。

(四)   法遵性(Legal Compliance)：遵守相關法律（如個人資料保護法、營業秘密法及智財權法律），避免損害本公司或第三方的權益。

三、資通安全政策

隨著資安事件頻繁，各種內外部攻擊、病毒及勒索軟體對企業造成威脅，企業必須快速且周全制定應對策略，並配備先進設備。鑑於資訊安全是維護各項服務安全運作的基礎，為確保能夠共識並落實資訊安全使命，特制定資訊安全政策，作為本公司資訊安全管理系統的最高指導原則，本公司將資安策略劃分為以下幾個部分：

(一)    員工責任 ：員工需遵守資通安全政策，並配合進行系統更新、安裝防毒軟體、定期更新密碼及不外洩，阻擋病毒及惡意程式，提供基本的安全防護。

(二)    資料控管中心 ：防火牆，即時過濾不安全的網路連線，並根據應用程式類型進行控管和記錄，以提供必要的分析資訊。所有重要資料設備均設有門禁管制，並有進出記錄。

(三)    重要資料集中管理 ：公司重要機密資料採取集中式管理，進行存取權限管理；針對存放在員工端的機密資料，宣導員工加強保護與管理，以全方位保護公司重要資訊資產。

(四)    資料備份管理 ：根據資料的重要性，制定不同的備份計畫，包括全備份、遞增備份及異地備份，並定期進行重要資料還原演練，確保資料的可恢復性。

四、資通安全具體管理方案

保護公司資料的機密性、完整性及可用性，制定相應的作業規範。

(一)   資訊資產管理 ：所有資訊資產需依其性質及存在方式進行適當的處理與防護。

(二)   存取控制管理 ：主機及存取密碼保護，設置密碼保護及管制使用權限，控管資料讀取權限，宣導密碼複雜度、定期更改密碼。

(三)   人員訓練 ：定期對員工進行「智慧財產權與資通安全」宣導，培養不隨意下載、不隨意安裝、不隨意執行未知程序及不點擊不明鏈接的良好習慣，以提升資通安全意識，增強公司的防護網。

(四)   網路安全管理 ：公司網路分為外網與內網，兩者以網路閘道設備區隔。定期檢測網路運作，並應用監控措施確保安全相關活動的紀錄保存。

(五)   資訊系統開發管理 ：在系統購置或開發前，需進行安全功能需求評估，開發過程中確保開發人員對原始碼及敏感資料的存取權限適當劃分，並確保資料處理過程中的正確性及系統開發環境的安全。

五、投入資通安全管理之資源

(一)    硬體設備：防火牆、網路交換器、不斷電系統 (UPS) 、伺服器等。

(二)    軟體系統：端點電腦資訊安全、備份管理軟體、郵件防毒、 VPN 連線認證等。

(三)    電信服務：多重線路、入侵防護服務、分公司點對點 VPN 信任等。

(四)    投入人力：每日各系統狀態檢查、設備異常發信通知、每周定期備份、每三個月對同仁進行資安宣導、每年系統災難復原執行演練、每半年對資訊循環之內部稽核、會計師稽核等。

六、 2023 年度本公司並無重大資通安全事件遭受損失情形