1.

本公司依循ISO27001國際資安標準建立風險管理架構，由資訊安全管理委員會每年評估公司各項業務流程及各項資訊資產之資安風險，並建立相對應之控制措施。

2.

本公司設立稽核室，每年對本公司資安管理系統之運作進行內部稽核，並將稽核結果呈報董事會。

1.

資訊安全管理政策

․

資訊安全長每年召開會議，建立與公司營運策略方向相容之資訊安全政策和目標。

․

公司之資訊安全管理政策為「提供安全與持續運作之資訊系統設計、開發、測試與維運環境，確保資訊系統及資訊之安全，達成本公司資訊安全管理目標」。

․

資訊安全政策之發佈更新時，提供公司同仁知悉，並依據關注方回應資訊安全管理政策。

2.

資訊安全運作政策

․

依營運需求、關注方要求及法律法規，適當建立管理委員會及其角色與責任，推動並實施資訊安全管理，並維持與相關方之聯繫及資訊安全管理制度之持續營運。

․

建立資訊及關聯資產之管理過程與紀錄，並針對資訊及關聯資產實施安置、保護、保全、維護、處置、汰除與多備等管理控制措施。

․

針對資訊及關聯資產於其生命週期過程識別、規劃、實施與改善保護措施，確保資訊及關聯資產之機密性、完整性與可用性，且滿足法律法規之要求。

․

確保人員之背景、資格、認知、能力與責任皆有查證、定義、培訓與周知，並採取各項控制措施確保維持保密協議或機密性。

․

針對系統與網路在獲取、開發、測試、運作、使用、委外與管理等過程，要求與採取各項資訊安全管理措施，確保其安全並留有管控紀錄。

․

針對應用程式在其生命週期過程，確保其資訊及關聯資產在存取、使用、安裝、設計、開發、測試與變更的安全性，並留存相關紀錄。

․

針對硬體、軟體、服務及網路應建立、記錄、實作、監視並審查，以確保其在安裝、運作與使用的安全性。

․

確保人員身分生命週期受到管理與記錄，並鑑別、限制、控制其存取資訊及其關聯資產之能力。

․

針對系統與網路在獲取、開發、測試、運作、使用、委外與管理等過程，要求與採取各項資訊安全管理措施，確保其安全並留有管控紀錄。

․

針對應用程式在其生命週期過程，確保其資訊及關聯資產在存取、使用、安裝、設計、開發、測試與變更的安全性，並留存相關紀錄。

․

採取各項記錄、監視、備份、備援與其他營運持續措施之整合作法，確保營運不受中斷之影響，維持資訊及其關聯資產之可用性。

․

針對資訊及其關聯資產(包含雲端服務、ICT與委外開發)之供應商在提供產品與服務時，確保產品與服務本身及其過程之安全性，並能維持保密協議與機密性。

․

識別、記錄與更新法律法規、契約協議與國際標準，並遵循前述之要求以確保智慧財產權、機密資訊與敏感性資訊受到保護與處置。

․

建立資訊安全事件管理組織與程序，以預防、偵測與矯正措施實施管理與記錄，確保本公司能及時回應處理並從中獲得學習。

․

透過定期與重大變更之各項審查活動，確保供應商、資訊系統開發與資訊安全管理系統能如預期持續運作與滿足安全要求。

1.

導入ISO27001國際資安標準，建立完善的資安管理制度，並於113年取得 ISO/IEC 27001:2022證書。

2.

電腦機房設有門禁，配備監視錄影系統、不斷電系統及冷氣空調，以確保網路設備及公司核心伺服器之實體安全及長時間正常運作。

3.

設置網路防火牆，阻檔外部網路攻擊及惡意連線，依業務需求進行網域區隔，並設定適當的安全策略規則，以管控不同內部網域之網路連線。

4.

建置第二外網，提高外部網路之可用性及頻寬。

5.

個人電腦安裝端點防護軟體，依資安需求，記錄及限制使用者之電腦操作。

6.

個人電腦安裝防毒軟體，以防止電腦遭受病毒感染。

7.

重要伺服器及機敏資料每日備份，並定期執行異地備份。

8.

每年進行重要伺服器之災難復原演練，確保重要系統遭受破壞時，可於要求之時限內回復正常工作。

9.

每年召開資安教育訓練課程或資安教育訓練會議，以提高員工之資安意識。

10.

定期執行資通安全威脅偵測作業，進行系統弱點分析，並修補系統弱點。