資通安全管理策略與架構

(一) 資通安全風險管理架構

資訊安全治理組織

本公司已由資訊部組成「資訊安全專責單位」，負責統籌資訊安全政策之制定、執行及風險管理與遵循，成員包含資訊安全主管1位及人員1位，由總經理定期監督其運作，確認資訊安全政策落實。另稽核室每年查核資通安全管理作業，並向董事會及審計委員會彙報查核結果。

資訊安全組織架構

(二) 資通安全政策

萬物聯網時代各種網路攻擊、勒索病毒、資訊機密竊取等各種資安事件日益頻繁，任何資安負面事件都會對企業聲譽造成嚴重損害，導致客戶流失和長久經營困難之風險。有效的資安措施可以幫助本公司識別、評估和管理這些風險，確保企業運營的連續性和穩定性。本公司的資訊安全政策為：

每年投入預算進行資安相關軟硬體的升級及維護。
採行各項資安措施來防止員工/客戶相關的資訊、財務資料、產品技術文件和商業機密資料不會被未被授權者竊取、竄改或洩漏。
藉由嚴格資安防護提升員工和合作夥伴們的信任。
確保安全良好網路及資訊系統環境，優化管理和流程，提高企業運營效率生產力。

(三) 具體管理方案

多層資安防護機制

項目	具體管理方案
網路安全	導入防毒牆技術，執行電腦掃描及系統與軟體更新。強化網路防火牆與網路控管，防止電腦病毒跨機台擴散。
裝置安全	建置端點防毒軟體，強化惡意軟體行為偵測。
應用程式安全	關鍵應用系統，每年定期災害復原演練。程式開發於測試環境進行，與正式環境區分。
人員與實體安全	電腦機房設有門禁、溫濕度監測及不斷電系統。
帳號與權限管理	權限給予以職務所需。離職帳號權限凍結。
資料安全保護技術強化	文件及資料加密控管及追蹤。儲存裝置僅限讀取權限。重要客戶或供應商，簽署保密協議。

檢討與持續改善

項目	具體管理方案
教育續練與宣導	提升同仁資安意識，宣導郵件社交攻擊態樣。向新進同仁布達硬軟體使用規則並簽署同意書。
投入資通安全管理之資源	每年編列固定比例預算（不少於資訊預算總額10%）進行資安相關軟硬體的升級及維護，114年資安相關費用佔資訊部門整體費用的13%。定期選派資訊人員參加資訊安全相關課程。

資通安全風險與因應措施

本公司已建立網路與電腦的資安防護措施，但無法保證重要企業功能之電腦系統能完全避免網路攻擊，造成營運及商譽的損害；有鑑於此，本公司主動加入「台灣電腦網路危機處理暨協調中心」透過情資分享，提升內部各項資安防護。另，本公司訂有「電腦防毒管理辦法」、「公司重大中毒事件處理SOP」等資安事件應變處置及通報作業程序，及時因應。

重大資通安全事件

最近年度及截止年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施：截止刊印日止未發生重大資通安全事件。

資訊安全管理