資通安全管理政策

依據指引，本公司組建資通安全處理小組來統籌本公司資訊安全管理等事項之協調、規劃、稽核及推動，並由資訊主管兼任資訊安全長。

小組成員則由資訊單位組成，必要時請各單位協助處理，並依據 2026 年度戰略計畫擴張人才，強化維運能量與資料庫管理品質。

各項控制作業以 ISO 27001 等指引為參考標準，由資訊單位統籌資訊安全事宜，制訂資安政策與管理辦法並落實。

資訊機密維護及安全稽核等事項，由資訊單位協同管理單位辦理，並藉由電審資料自動化提升可靠性及資料提供效率。

網際網路及資安控管：

• 架設防火牆並使用UTM防堵漏洞
• 定期對系統進行掃毒及更新
• 委外廠商進行維護時在相關人員監督下才可進行作業
• 人員進出管制

資料存取控管：

• 資訊設備由專人保管並設定帳號及密碼並進行資產管理
• 依據職能分別給予不同的存取權限
• 調離職人員修改或取消權限
• 不使用電腦時須完全登出系統或關機

應變復原：

• 系統每年進行災害還原演練
• 建立系統及資料備份
• 定期消防演練
• 不斷電系統定期檢測

宣導及檢核：

• 隨時宣導資訊安全資訊
• 定期內外稽、內控自評並由稽核人員報告董事會

網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾等。

軟體系統如端點防護系統、VPN認證等。

電信服務如備援線路、UTM入侵防護服務等。

投入人力如: 每日系統狀態檢查、每週定期備份執行、資安宣導、每年系統災難復原執行演練、每年對資訊循環之內部稽核、會計師稽核等。

資安人力: 組建資通安全處理小組，負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂，每年向董事會至少報告一次。

核心系統更新，加強雲端環境下資料安全與維運穩定性，系統提供 SOC2 Type 2 報告並符合 ISO 27001 規範，提升公司重要資料完整性及可用性。

針對雲端對外服務環境，將從網通層到應用層進行全面防護，包含反向代理、設備指紋辨認、強制多重身分驗證(MFA/2FA)。

加強機敏資料之數據安全及監控，包含：機敏資料自動加密(採用透明加密 TDE)、資料歷程全面控管，並針對異常行為發出警示。

為提高對外服務之可用性，增設備援伺服器縮短系統環境重建時間。

一般人員訓練 : 全年每人接受1小時資安基本內部訓練，並包含課後題目檢視訓練成果。(2025 全體同仁皆完成課後題目，未達滿分同仁已另進行訓練並測驗通過)

資安人員訓練 : 全年每人接受12小時以上資安專業外部訓練，內容包含 ISO27001 標準、各式新型威脅講座。(2025 完成 14 小時 OWASP 資安實戰課程外訓)

災害還原演練 : 2025 完成PDM 、 ERP 等重要系統還原演練，2026 將擴大演練範圍。

資安會議 : 每季一次資安小組會議，內容包含新型威脅防護及各系統OS版本安全評估。

弱點掃描 : 每年針對主機及網頁進行弱掃。

其他 2025 已執行資安項目 : USB 全面禁用、公司網路(有線、無線)限制裝置連線(鎖MAC)、重要子公司防毒部署。

資通安全之風險

• 本公司資訊作業重心以行政為主，主要風險在於來自任何第三方的攻擊，包括癱瘓系統、竊取公司機密資訊，如以非法方式入侵公司內部網路系統，破壞公司之營運與損及公司商譽等活動，並影響資訊系統及設施之正常運作。

資通安全之管理措施

• 根據資通安全管理規範措施包含復原以及防護兩大部分，落實各系統及資料的異地備份，及災害還原演練，確保復原制度之資料完整性及效率。防護部分，本公司營運使用的資訊管理系統多為委外開發，與廠商簽訂維護合約與保密協定進行系統的維護，委外廠商須在相關人員監督下才可進行作業。各系統伺服器之系統定期更新並安裝端點防毒軟體，對外網路透過防火牆與UTM服務進行防禦。 本公司各項資訊安全風險，透過資安政策的不斷完善、更新與落實，有效的降低各類型資訊威脅的發生機率與影響損害程度，達成風險控管的目的。