本公司针对资通安全管理，订有资讯安全政策、内部控制制度及相关资讯安全管理作业规范，并设置专责资通安全管理组织负责业务推动与执行，用以确保本公司各项资讯资产得到适当保护，亦确保资讯之机密性、完整性和可用性。

一、资通安全风险管理架构

本公司有关资通安全管理事项之规划、推动、评估及稽核，以资讯中心为权责单位，并设置资安专责主管及资安专责人员各1名，负责定期检讨资讯安全管理政策符合本公司 业务需求，以及该政策之推动及落实，并由副总经理以上主管督导。本公司资安专责单位于每年召开会议讨论及检讨资安风险评估及预计改善方式，113年度共计召开1次会议，并于113年12月27日于董事会报告当年度资讯安全管理执行状况。

二、资通安全政策

建置适当的资讯安全管理系统以确保本公司资讯资产的机密性、完整性与可用性，强化本公司同仁对资讯安全的认知和对资讯设备及网路系统之管理，以避免资讯资产遭受破坏或不当使用，遇到紧急危难时，能迅速作必要的应变处置，并在最短的时间内回复正常运作，以降低该事故可能带来的损害。

资通安全管理执行范围：

1. 资讯安全政策制定及执行。
2. 资讯安全组织运作与执行。
3. 资讯安全宣导及教育训练。
4. 资讯资产之重要性及资安风险鉴别。
5. 通讯安全管理。
6. 系统存取控制。
7. 系统发展及维护之安全管理。
8. 环境安全。
9. 资通安全事件通报应变(含紧急应变措施)。

三、具体管理方案

1. 明定资通讯安全相关控制制度，用以规范本公司使用资讯资产之安全及行为符合制度之要求。
2. 各资讯资产皆设有可供识别使用者的系统帐号与必要的权限管理，并阻隔非经授权的不当存取以确保资讯资产之机密性，同时订有相关作业规范定期对于使用者帐号、特权帐号及其权限进行必要审查。
3. 对使用者帐号之密码设有每次配发新帐号需套用不同的预设密码，同时套用密码长度、密码最短及最长字元及登入失败多次自动锁定之限制，以提升使用者帐号之安全性。
4. 设置应用程式防火墙架构、针对使用行为及权限进行控制，防火墙同时具备入侵侦测及防御，病毒防御、垃圾邮件防御及恶意连结防御机制，并保存必要监控日志做为管理及稽核使用。
5. 设置具中控平台的防毒系统以及端点防护机制，确保资讯资产之防御能力得到持续更新及受到资安政策管控，并在发生资安事件时，用最短时间确认影响范围及排除状况，以确保资讯资产之可用性，并可对实际防御状况进行分析。
6. 设置主动式邮件防御系统，自动取得最新攻击手法资讯及防御能力，抵御针对式攻击 (APT)、目标式攻击、恶意程式、钓鱼攻击、垃圾邮件及广告邮件，有效降低资讯资 产及机敏资料的损失。
7. 设置必要之资料备份系统，当重要资讯资产发生异常时，可经由资料备份系统实施资料复原计划或是资产备援工作。提供资讯资产之可用性。
8. 定期检讨系统提供者、维护者、管理者、资料拥有者、一般使用者或相关人员是否遵守资讯安全政策及相关规定。
9. 不定期进行资讯安全宣导，提升同仁的资安意识。
10. 引进外部资安演练服务，借以验证抵御外部资安攻击之能力及持续强化资安防御能力。
11. 对于重要资讯资产所在区域执行人员进出管控、环境监控之安全控制。
12. 时常留意安全漏洞通告，针对高风险漏洞进行即时修补。

四、投入资通安全管理之资源

1. 加入全球资安预警情报网(SOC)，快速取得与使用中之各项资讯资产所受威胁及弱点，并做必要防御工作。
2. 持续投入资源，确保公司各项资讯资产之软硬体可取得所受威胁及弱点之更新程式。
3. 资安政策相关：
   (A)112 年 11 月发布本公司资通安全政策并发布公告。
   (B)112 年 12 月依据资通安全政策之要求，修订资通讯安全相关内部控制制度并发布公告。
4. 资安宣导相关：
   (A)112 年 9 月对所有员工发布资安宣导。
   (B)113 年 5 月及 11 月对所有员工发布资安宣导。
5. 教育训练相关：
   (A)113年5月资安人员1名取得ISO：27001主导稽核员认证，强化资安风险鉴别及控制能力。
   (B)113年10月完成32人次资通安全社交工程教育训练课程。

五、重大资安事件之影响及因应措施

113 年无重大资通安全事件之情事发生。