資訊安全政策

為維持公司資訊系統的正常運作，防止駭客、病毒入侵及破壞，並避免人為疏失，意圖不當及非法使用，以維護實體環境之安全，特定此政策規範。資訊安全政策為本公司有關資訊安全管理權責、電腦系統安全管理、網路系統安全規定、系統存取管制規定、實體環境安全管制規定之準則。

資訊安全風險管理架構

1.公司資訊安全風險管理架構，依據所制定的資訊安全政策下，擬定相關管理作業程序，並定期檢討作業程序以符合現實情境。資訊部門依據作業程序，設置合適的資安技術，維持公司各項資訊服務正常運作。

2.內部稽核業依年度風險評估結果將資通安全檢查之控制排入每年度的定期查核作業中，並於董事會中報告查核結果。

資訊安全具體管理方案

定期審視內部資訊安全規範，統籌、管理、督導集團所有資安業務，定期進行防護系統有效性查核、社交工程演練等相關資安檢測，並對員工持續提供相關資安宣導。透過資安政策與作業程序的執行，可提供足夠的資安環境，保障公司各項服務的正常運作，故暫無購買資安險。

本公司實施之資訊安全管理措施，包含如下：

1.實體安全管理

➢ 機房環控與門禁管制機制

➢ 資訊硬體管制程序

➢ 實體環境安全管制規定

2.系統安全管理

➢ 資訊軟體管制程序

➢ 系統異動管制措施

➢ 軟體漏洞偵測與修補更新

3.資通安全管理

➢ 病毒防護與惡意程式防治

➢ 資料外洩管道控制措施

➢ 內/外部網路存取管控措施

4.存取安全管理

➢ 人員帳號權限管理機制

➢ 機密文件管控措施

➢ 系統存取管制規定

5.災害應變防治

➢ 系統/網路狀態監控及通報機制

➢ 資料備份措施與系統備援機制

➢ 災害復原演練

資通安全管理投入資源：

(1) 端點防護：設置電腦防毒、郵件防毒，每年至少52次檢查系統運作狀態及病毒碼更新狀況。

(2) 網路防禦：對外設置防火牆設備、網站與郵件過濾管理設備，定期檢視網路流量及適度調整網路存取權限。

(3) 資安教育：每年至少1次資安宣導教育課程，及實施社交工程演練檢視成效。

(4) 備份與復原：建構備份管理機制與系統，核心系統定期災難復原演練。

(5) 於2023年度設置資訊安全專責主管1人及資訊安全專責人員1人，職責為依循本公司資訊安全政策，執行資訊安全管理。

(6) 每年至少12次資安彙總報告。