資訊安全

（一） 資通安全風險管理架構：

1. 為保護公司寶貴的營業秘密、研發技術、智財專利，提升商業及公共形象，增加營運競爭力，本公司遵循國際資安管理系統ISO/IEC 27001，採用規劃、執行、查核與行動（ Plan-Do-Check-Act, PDCA）方法，架構多層資通安全防禦，持續進行管理制度與技術的強化並執行風險管控以期有效事前預防詭異多變的資安威脅、降低營運風險。
2. 本公司「資訊安全政策」由董事會核定，以為本公司建立資通安全管理制度及訂定相關資通安全管理規範、程序等之依據，確保公司重要資訊機密性、完整性及可用性。
3. 本公司明訂資訊安全管理權責單位，協助董事會致力於持續推動資通安全管理之落實，以強化公司治理體質、增進業務運作之安全為目的。
4. 定期執行資訊安全風險評鑑作業，由資訊安全管理制度管理代表審查風險處置作為之適切性。
5. 定期召開管理審查會議檢討資訊安全管理制度執行情形。
6. 將資訊安全檢查控制作業，列為年度稽核項目，稽核單位每年度至少進行一次稽核。公司每年度依據內部控制制度自行檢查作業，總結內部控制實施成效，提報董事會複核確認，並依據評估結果出具內部控制制度聲明書。

（二） 資通安全政策：

1. 已制定資訊安全管理目標及政策，並定期檢討修訂。
2. 本公司自112年起取得ISO 27001國際資訊安全管理系統認證，目前證書之有效期為114年5月13日至115年5月12日。
3. 定期針對資訊安全目標進行有效性量測及矯正預防措施，確保資安管理機制與時俱進。

（三） 具體管理方案：

1. 每年辦理至少一次資訊安全教育訓練及宣導作業，新進人員皆須簽定保密協定。
2. 委外廠商須簽定保密協議，以確保使用本公司的提供資訊服務或執行相關資訊業務者，有責任及義務保護其所取得或使用本公司之資訊資產，以防止遭未經授權存取、擅改、破壞或不當揭露。
3. 要求同仁帳號、密碼與權限應善盡保管與使用責任並定期更換密碼。
4. 重要資訊系統或設備已建置適當的備份、備援或監控機制並定期演練，以維持其可用性。
5. 建立業務持續運作管理機制，並定期測試演練，維持其適用性。
6. 每年定期實施內部稽核，以確保資訊安全管理制度及各式資訊安全內部控制之有效性。

（四） 投入資通安全管理之資源：

1. 設有資安專責之人力，負責公司資訊安全規劃、技術導入等事項，以維護及持續強化資訊安全。
2. 已延攬具國際資通證照及經驗之專業人才，持續增強資訊保護和資通安全。
3. 已透過專業資通安全廠商提供資訊安全評估及相關檢測，檢視既有控制措施之有效性。
4. 已建置關鍵系統之備援機制，並定期進行災難備援及復原演練。
5. 已加入政府主辦之TW-ISAC企業情資分享平台，即時接收並分享重大資安情資。
6. 已加入台灣資安主管聯盟，促進資安主管之資訊安全技術應用與交流，透過資安主管聯盟提升本公司資安人才培訓、資安服務資源連結、重大資安事件應變協助、資安管理制度合規建立及強化資安韌性。
7. 已制定資訊安全事件的回應及通報標準程序，由資訊安全緊急應變小組負責資訊安全事件之即時處理，避免損害擴大。
8. 藉由持續投入資安管理與技術資源，持續提高資安防護能量與資安韌性，達到事前有效的預防，以及當資安事件發生時能加速進行應變處置，降低其對公司財務業務之影響。