資通安全風險管理

● 資訊安全政策

本公司制定資訊安全政策作為資通安全管理之指導準則，聚焦個人資料檔案之安全維護與管理、營業秘密檔案管理及資訊系統安全三大面向，並持續落實資通安全管理，強化人員、設備、系統、資料及網路等資訊資產之安全管理，免於因外在威脅或內部人員不當的管理，遭受洩密、破壞或遺失等風險。

● 資訊安全組織架構

(1) 本公司於 113年設置「資通安全管理推動小組」，作為資通安全治理及運作管理機制之功能組織，並以PDCA（Plan-Do-Check-Act）循環式管理方法，確保資通安全風險管理架構之有效性與持續改善。

(2) 「資訊安全管理推動小組」於113 年召開 19 場次以上相關會議，持續檢視與精進資通安全管理作為。於自114年第二季起，每季定期召開資通安全報告會議。已完成114年第二季及第三季資通安全執行報告，預計於115年1月召開114年第四季資通安全執行報告會議。

(3) 由稽核室依年度稽核計畫，定期或不定期執行資訊安全相關作業之稽核，以強化內部控制與風險管理機制。

(4) 全體員工及協力廠商等資訊使用者，均須遵行本公司資訊安全政策及相關管理規範，共同維護公司資訊資產之安全。

● 管理階層支持

本公司管理階層高度重視資通安全治理，於114年制訂資通安全政策，並經董事會核定後公告實施，作為公司資安管理之最高指導原則，並每年進行資安政策的覆核。管理階層持續督導資通安全推動情形，並每季向董事會報告資通安全執行情形與風險管理成效，以確保公司營運資訊之機密性、完整性與可用性。

● 資訊安全具體管理方案

(1) 採次世代防火牆，鞏固網路邊界，防範外部威脅。

(2) 垃圾郵件過濾，降低垃圾郵件造成之資安風險。

(3) 每台電腦安裝防毒軟體，定期掃毒，以提供同仁安全的作業環境。

(4) 定期下載漏洞修補程式更新作業系統，以防止駭客或病毒攻擊。

(5) 每日、每月定期進行備份作業，並將備份資料異地存放。

(6) 114 年 12 月進行核心系統還原演練，確保備份資料正確及有效。

(7) 114 年度人員到職、異動、離職時，均依作業要求進行權限變更。

(8) 應用系統軟體之變更，由使用部門填具「電腦作業變更申請單」經權責主管核准，並依程式開發及設計程序辦理。

(9) 112 年起加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC)，取得資安預警情資、資安威脅與弱點資訊。

● 資通安全資源投入

(1) 本公司建置防火牆系統、垃圾郵件過濾系統，每台電腦皆安裝防毒軟體及定期進行漏洞更新以防止非法入侵、破壞或竊取資料，以保障資料安全。

(2) 上述資通相關系統皆指定專人負責，提升資通防護能量。

(3) 114 年委託廠商進行資通安全檢測，含主機及網站弱點掃描，並依檢測結果進行評估及修補。

(4) 114 年實施1社交工程演練、社交工程防範資安宣導3次，每月發送資安電子報共12封，以提升同仁資安意識。

(5) 於114年辦理全體同仁資通安全通識教育訓練課程，學習總時數達304.18小時。

(6) 於114 年資安專責人員參與外部資安專業教育訓練課程，計 2人次，共16小時。

(7) 配置資安專責主管 1 人，資安專責人員1 人，負責資通安全治理、規劃與執行相關作業。

(8) 114年建置SOC資安營運中心，收納多種異質設備日誌，進行7*24的監看，並追蹤異常事件。

(9) 114年進行EDR端點即時監控系統導入案，強化對於未知威脅與勒索軟體之偵測及即時應變能力。

● 資安與網路風險之評估

(1) 114 年安侯建業聯合會計師事務所進行資訊作業內部控制之有效性查核，查核結果未發現重大風險缺失。

(2) 114 年執行主機系統弱點掃描及網站弱點掃描等檢測作業，並依檢測結果採取相應之強化及改善措施。

(3) 參與數位產業署 SIG 資訊安全評級及資安健檢專案（公協會邀集），透過外部評估機制檢視公司資安成熟度，並據以精進資通安全管理作為。

● 資安事件

(1) 近三年度未發生任何重大資安事件，致公司遭受損失或對營運產生不利影響。