资通安全管理策略与架构

资通安全风险管理架构

本公司于民国112年成立｢资安管理委员会｣，并依职能区分文件小组、风险小组及稽核小组，负责规划本公司整体信息安全管理架构及发展，订定资安政策、目标及制度，遵循ISO 27001框架进行信息资产风险管理及资安制度执行和查核。

另也于民国112年12月25日成立｢信息安全管理部门｣，专责公司信息安全政策推动、落实资安机制及提升公司员工资安意识，并主导｢资安管理委员会｣运行，将推动及执行结果向上呈报总管理处最高主管、董事长。

稽核室为本公司制度监理之查核单位，兼任｢资安管理委员会｣之稽核小组，每年将资通安全管理检查列入年度稽核计划，并将查核结果定期（至少一年一次）呈报董事会，定期追踪改善成效。

｢资安管理委员会｣透过每年召开一次的管理审查会议，审核过往决议的处理状态、了解资安风险的分析及稽核结果，以确保信息安全管理持续运作及落实，并评估改善的机会。

此外，为提升资通安全及降低营运风险，本公司每年委托会计师事务所计算机审计部之专业查核团队及外部专业验证机构，针对资安全管理进行定期性查核，并汇报查核结果及提出相关改善建议事项。

信息安全管理架构

资通安全政策

遵循「公开发行公司建立内部控制制度处理准则」第九条有关「计算机化信息系统处理」之规范，及ISO 27001信息安全管理系统的管理框架，建立符合规范之资通安全政策。

本公司信息安全目标为确保核心系统管理业务之机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）与法遵性（Compliance），并依各阶层与职能定 义及量测信息安全绩效之量化指针，以确认信息安全管理系统实施状况及是否达成信息安全目标。

• 制定信息安全管理规范并定期检视相关规章，且举办信息安全教育训练，强化员工之信息安全意识及其对相关责任之认知。
• 保护公司业务活动相关信息，强化数据安全性，避免未经授权之存取与窜改等不当使用之情事。
• 确保本公司重要信息管理系统维持稳定可供服务使用。
• 建置信息安全监控自动化与强化防御预警能力，降低信息遭受未经授权之入侵、恶意破坏或泄露等攻击行为。
• 确实落实日常运维之标准化作业程序，并定期进行内部稽核及外部查核，确保内部控制制度及相关作业程序之有效性。
• 遵循我国相关法律（如:个人资料保护法、营业秘密法、智财权相关法律），避免本公司或第三方人士权益受侵害

具体管理方案

• 遵循ISO 27001信息安全管理的国际标准，制定本公司信息安全管理系统架构、实施、维护以及持续改善的准则。
• 鉴别所有信息资产，将重要的信息资产作成清册并指派专人管理，每年定期执行风险评鉴并处理风险。
• 增进网络及应用系统安全，导入端点防护机制、应用系统弱点扫描及源码扫描、改善备份设备和管理、导入双因子认证等。
• 制定营运持续计划及测试演练，针对本公司关键营运流程或活动，预先规划中断时之复原步骤，以使本公司遭遇信息安全事件影响营运时，能在最短的时间内回复正常营运。
• 建立信息安全事故管理程序，并对信息安全事件/事故订定分级标准，以便快速、有效的反应，降低或消除信息安全事件所可能带来的冲击与伤害。
• 定期举办社交工程钓鱼邮件演练，提供全体员工资安意识，并针对被钓鱼成功员工办理资安教育训练以加强倡导。
• 加入TWCERT/CC 「台湾资安联盟」会员，透过联盟彼此交换资安情资及重要资安议题的分享，以达资安联防之目的，增进公司资安防护能力。

 投入资通安全管理之资源

• 设有专责之「信息安全管理」部门，负责公司信息安全政策推行、资安技术导入及配合相关稽核事项，以确保公司资安管理持续有效。
• 完成防火墙升级优化项目。
• 导入MDR产品，透过资安公司专业协助，随时监控异常状况，并及时处理以增强信息安全防御能力。
• 建置Log Server，整合保存收集到的大量记录数据。
• 每半年执行两次社交工程钓鱼邮件演练。
• 建置信息安全管理系统，发布信息安全相关政策及程序制度，以使全体同仁得以遵循; 并于[信息安全学习区]发布相关信息，包含资安意识训练简报和个资法基础课程等。
• 透过专业顾问公司辅导，强化信息安全制度，每年(至少一次)召开信息资产风险评鉴会议及管理审查会议，确保了解风险所在并加以改善。
• 2023年Q4通过ISO 27001 认证，相关资安稽核无重大缺失。