【資通安全風險管理架構】

本公司設置資安專責主管及資安專責人員，負責推動、協調監督及審查資通安全管理事項。 資訊安全政策、計畫及技術規範之研議、建置及評估等事項，由資訊處負責辦理。 資通系統及資料之安全需求研議、使用管理及保護等事項，由業務權責單位負責辦理。 資通機密維護及稽核使用管理事項，由內部稽核室會同相關單位負責辦理。 每月資訊處於主管會議向執行長報告資訊作業與執行結果。 每年稽核室會進行內部稽核，若發現缺失，會要求受查單位改善措施並追蹤改善結果。 每年會計師會進行資訊作業查核，若發現缺失，會要求改善措施並追蹤改善結果。

【資通安全政策】

資通安全管理是現代企業治理不可或缺的一環，對實現公司治理目標與永續發展具有深遠影響。隨著數位化程度日益加深，企業在營運過程中所產生並處理的大量資料，包括客戶資料、商業機密及財務資訊，均需妥善保護，以防止資料外洩或遭受攻擊。
為確保資通作業的安全與穩定，提供可信賴的資訊服務，並維護資訊資產的機密性、完整性及可用性，本公司遵循相關法令、法規、主管機關要求及客戶契約規範，採取以下資安策略，以抵禦內外部威脅並推動業務順利運作：
1.完善資安程序：建立資訊作業安全相關規範，確保資訊資產的機密性、完整性與可用性，同時保障業務之持續運作，符合法規及營運需求。
2.明確組織分工：設立專責資安組織，訂定清晰的權責分工，有效推動資安作業。
3.應變機制建置：建立資安事件通報與應變機制，確保事件發生時能迅速回應、有效控制並妥善處理。
4.持續教育訓練：不定期宣導資安政策與規範，落實員工資安教育，提升全員資安意識。
5.定期稽核監督：執行資安稽核作業，確保資安管理措施確實執行並持續改善。
為強化資安管理，本公司積極參與資安情資分享組織，建立內外部通報窗口及應變處理標準作業流程（SOP）。我們不定期舉辦資安宣導活動，提升員工資安意識，並每周召開內部資安管理會議，促進資訊共享與協作。此外，透過內部稽核室及外部會計師的年度資訊作業查核，持續檢視並優化資安措施。 在資源投入方面，本公司已配置專業人力與系統資源：

• 人力資源：由資訊處長擔任資安專責主管，指派專責人員負責資安管理，資訊處同仁共同維護資通系統，並承擔資安管理責任。
• 系統資源：建置多層次網路安全縱深防禦，涵蓋網路、閘道、伺服器、系統、應用軟體、終端設備及周邊設施，並投入相應資源以確保防護效能。

透過完善的資安管理，本公司有效提升風險管理能力，強化內部控制，落實公司治理的透明度、問責性與公平性原則。此舉不僅贏得股東、員工及客戶等利害關係人的信任，更鞏固企業聲譽與市場競爭力，為永續發展奠定堅實基礎。

【資通安全具體管理方案】

1.「資通安全政策」、「資通安全作業程序」符合「上市上櫃公司資通安全管控指引」。
2.明定資安組織權責及分工。資訊處長為資安專責主管，並指派資安專責人員。
3.加入資安情資分享組織。建立資安事件的內外通報窗口與聯繫方式及應變處置SOP。
4.不定期對員工進行資安宣導，以提昇同仁資安意識，114年共4次。每周進行集團內部資通管理與安全會議，114年共48次。
5.稽核室及會計師每年會進行資訊作業查核，並進行改善措施。

【投入資通安全管理之資源】

1.人力資源：資訊處長為資安專責主管，並已指派適當人員擔任資安專責人員。
資訊處同仁管理資通系統，擔負資安管理權責。公司資安管理及維護相關人力共15人。
2.系統資源：已建立多層次之網路安全縱深防禦，包括網路、閘道、伺服器、系統、應用軟體、終端、周邊設備等，已投入之相關資源如下：
高可用性基礎架構：重要資通基礎建設皆採無單點系統故障設計與建置。
新世代入侵防禦系統(IPS)：結合雲端數據更新防禦策略，阻絕網路攻擊並避免成為跳板。
新世代防火牆：依工作特性建立物理或邏輯區隔與安全策略，研發中心獨立控管。
資料傳遞管控與紀錄：資料傳出公司或下載至周邊設備，都被管制並留下紀錄。
定期弱點掃描：委託第三方資安公司進行外部弱點偵測並修補改善弱點或做因應處理。
定期更新修補：進行系統更新、程式與安全漏洞修補，避免病毒、惡意軟體及駭客利用。
完整系統備份：公司內系統、應用服務與資料都有完整保護與備份。
定期災後復原演練：定期排程進行災後復原演練並檢討改善缺失及還原時間。
系統權限管控：權限申請與變更都有管制與紀錄，密碼每半年更新。權限每半年盤點。
網路通訊：集團內公司間通聯採用專線或是有經過VPN加密的公眾網路。
行動裝置安全：個人出差或居家辦公等遠端連線公司服務，需經雙因素認證及加密通道。
端點設備防毒防駭：終端設備集中管理，病毒碼更新、行為監控。
郵件安全：垃圾信與惡意程式過濾。
資產與系統管理：用戶端軟硬體資產異動管理、非法軟體稽核。