一、資通安全風險管理架構

本公司有關資通安全管理事項之規劃、推動、評估及稽核，以資訊中心為權責單位，並設置資安專責主管及資安專責人員各1名，負責定期檢討資訊安全管理政策符合本公司 業務需求，以及該政策之推動及落實，並由副總經理以上主管督導。本公司資安專責單位於每年召開會議討論及檢討資安風險評估及預計改善方式，113年度共計召開1次會議，並於113年12月27日於董事會報告當年度資訊安全管理執行狀況。

二、資通安全政策

建置適當的資訊安全管理系統以確保本公司資訊資產的機密性、完整性與可用性，強化本公司同仁對資訊安全的認知和對資訊設備及網路系統之管理，以避免資訊資產遭受破壞或不當使用，遇到緊急危難時，能迅速作必要的應變處置，並在最短的時間內回復正常運作，以降低該事故可能帶來的損害。

資通安全管理執行範圍：

1. 資訊安全政策制定及執行。
2. 資訊安全組織運作與執行。
3. 資訊安全宣導及教育訓練。
4. 資訊資產之重要性及資安風險鑑別。
5. 通訊安全管理。
6. 系統存取控制。
7. 系統發展及維護之安全管理。
8. 環境安全。
9. 資通安全事件通報應變(含緊急應變措施)。

三、具體管理方案

1. 明定資通訊安全相關控制制度，用以規範本公司使用資訊資產之安全及行為符合制度之要求。
2. 各資訊資產皆設有可供識別使用者的系統帳號與必要的權限管理，並阻隔非經授權的不當存取以確保資訊資產之機密性，同時訂有相關作業規範定期對於使用者帳號、特權帳號及其權限進行必要審查。
3. 對使用者帳號之密碼設有每次配發新帳號需套用不同的預設密碼，同時套用密碼長度、密碼最短及最長字元及登入失敗多次自動鎖定之限制，以提升使用者帳號之安全性。
4. 設置應用程式防火牆架構、針對使用行為及權限進行控制，防火牆同時具備入侵偵測及防禦，病毒防禦、垃圾郵件防禦及惡意連結防禦機制，並保存必要監控日誌做為管理及稽核使用。
5. 設置具中控平台的防毒系統以及端點防護機制，確保資訊資產之防禦能力得到持續更新及受到資安政策管控，並在發生資安事件時，用最短時間確認影響範圍及排除狀況，以確保資訊資產之可用性，並可對實際防禦狀況進行分析。
6. 設置主動式郵件防禦系統，自動取得最新攻擊手法資訊及防禦能力，抵禦針對式攻擊 (APT)、目標式攻擊、惡意程式、釣魚攻擊、垃圾郵件及廣告郵件，有效降低資訊資 產及機敏資料的損失。
7. 設置必要之資料備份系統，當重要資訊資產發生異常時，可經由資料備份系統實施資料復原計劃或是資產備援工作。提供資訊資產之可用性。
8. 定期檢討系統提供者、維護者、管理者、資料擁有者、一般使用者或相關人員是否遵守資訊安全政策及相關規定。
9. 不定期進行資訊安全宣導，提升同仁的資安意識。
10. 引進外部資安演練服務，藉以驗證抵禦外部資安攻擊之能力及持續強化資安防禦能力。
11. 對於重要資訊資產所在區域執行人員進出管控、環境監控之安全控制。
12. 時常留意安全漏洞通告，針對高風險漏洞進行即時修補。

四、投入資通安全管理之資源

1. 加入全球資安預警情報網(SOC)，快速取得與使用中之各項資訊資產所受威脅及弱點，並做必要防禦工作。
2. 持續投入資源，確保公司各項資訊資產之軟硬體可取得所受威脅及弱點之更新程式。
3. 資安政策相關：
   (A)112 年 11 月發布本公司資通安全政策並發布公告。
   (B)112 年 12 月依據資通安全政策之要求，修訂資通訊安全相關內部控制制度並發布公告。
4. 資安宣導相關：
   (A)112 年 9 月對所有員工發布資安宣導。
   (B)113 年 5 月及 11 月對所有員工發布資安宣導。
5. 教育訓練相關：
   (A)113年5月資安人員1名取得ISO：27001主導稽核員認證，強化資安風險鑑別及控制能力。
   (B)113年10月完成32人次資通安全社交工程教育訓練課程。

五、重大資安事件之影響及因應措施

113 年無重大資通安全事件之情事發生。