一、組織

本公司為強化公司資訊安全，已於2023年11月8日召開之董事會中通過，設置資訊安全部門，並增設資訊安全主管及資訊安全人員一名，負責資通安全事務的規劃與執行。

資安主管至少每年一次於董事會中報告重大議題或規劃。

二、資通安全管理政策

本公司的資通安全政策以「遵循資安法令、營運持續運作、定期資安宣導、落實資訊安全」作為指導準則．同時以防護、防毒、防駭和防漏等四大資安防護主軸為目標，並建立防火牆、防毒系統、入侵防護及諸多內控系統，以提升公司在防禦外部攻擊以及確保內部資訊系統防護的能力，特制訂本政策如下:

1. 遵循資訊安全相關法令，及對本公司資訊資產提供適當的保護措施，以確保其機密性、完整性，可用性，以做為公司資訊安全管理與運作之最高指導方針。
2. 定期評估各種可能之危害或造成對本公司資訊資產之影響，訂定重要資訊資產及關鍵性業務之緊急應變對策及復原計劃，以確保本公司業務能持續運作。
3. 定期執行資安稽核作業，以確保資訊安全落實執行。
4. 確保資訊作業之持續運作。
5. 宣導同仁落實資訊安全防護工作，建立相關業務之資訊安全的責任、觀念與行為規範。
6. 使用或連結本公司資訊環境之往來廠商、客戶或相關業務資訊接觸之第三方人員，共同遵循本公司資安政策相關規定。
7. 訂定營運持續管理備援/備份還原之演練，確保公司業務持續運作。
8. 成立資訊安全管理組織負責資訊安全制度之建立及推動事宜。
9. 新設備/系統建置前，須將風險、安全因素納入考量，防範危害系統安全之情況發生。
10. 建立資訊機房實體及環境安全防護措施，並定期施以相關保養。
    

三、資安具體管理方案

具體管理方案由風險預防、防護設施、緊急應變等三個構面，運用相關智慧科技來管控集團的資安防護能力。

風險預防

1. 加入聯防組織TWCERT, 以多元情資分享管道，達到跨域資安威脅聯防之綜效。
2. 遇到全球重大資安事件時，立即公告通知集團所有人員注意。
3. 妥善保管密碼及或任何資料. 不將任何個人資料，尤其是密碼提供給任何人。
4. 定期執行系統與網站的弱點掃瞄, 即早發現潛在問題。
5. 配合稽核單位排定年度資安稽核計畫及社交工程演練執行(2024)。

防護設施

1. 資訊機房設有獨立空調系統、監控設備、電力備援系統與自動滅火設備。
2. 網路入侵偵測系統，監控網路流量自動終止不正常的網路連線。
3. 裝設防火牆防止非法入侵、破壞或竊取或破壞資料。
4. EMAIL SPAM/ APT 防護,避免商務郵件詐騙、社交工程防護守護企業資安。
5. 裝設端點防護系統，定期掃毒，以提供使用者更安全系統環境。
6. 定期執行系統更新，修補系統已知問題。

緊急應變

1. 重要系統災難還原機制，每年執行還原驗證，確保重要系統可還原性。
2. 總部VPN電路備援機制，確保不會因電路異常而影響公司營運。
3. 每日進行備份作業，將資料備份到備援主機，重要資料定期備份到第二地存放或雲端，供緊急情況資料還原。

量化資訊