資訊安全管理

　　本公司為加強控管及監督資訊安全風險，保護企業資產、健全公司體質，及強化董事會職能，爰依上市上櫃公司治理實務守則第二十七條之規定，於111年11月10日設置資訊安全委員會（以下簡稱本委員會），並訂定本組織規程，以資遵循。
　　資訊安全委員會成員由全體獨立董事組成，計3席。本委員會成員之任期與委任之董事會屆期相同，本委員會至少每年召開一次。
　　本委員會之職權事項如下：

1. 審查資訊安全管理政策、擬訂資訊安全管理架構及組織功能，定期檢視公司整體資訊安全管理機制之發展、建置及執行結果。
2. 審查新業務之資訊安全管理機制。
3. 審查年度資訊安全推動計畫。
4. 核備重大資訊安全事故損失之檢討與因應措施。
5. 審查主管機關、董事會及各項資訊安全政策中另有規範或要求需呈報董事會之事項。

1. 不定期檢視資訊安全政策的適用性與保護措施，並檢討、執行成效。
   「規畫階段」著重企業資訊安全風險管理，從系統面、技術面、程序面執行降低企業免於資訊安全威脅及危害，並建立符合客戶需求及高規格的機密資訊保護以及服務。
   「執行階段」持續檢討、建構資訊安全防護措施、方案，並陸續導入將資訊安全防禦創新技術，而將資通安全控管機制整合、建置於軟硬體維運、資安管理上，在平日資通安全管理作業及系統化的監控資訊安全，維護本公司重要資產的機密性、完整性及可用性。
   「查核階段」積極監控資安管理成效，依據查核結果進行資安指標衡量及量化分析，並透過定期模擬演練資安攻擊進行資訊安全成熟度評鑑。
   「行動階段」則以檢討與持續改善為主軸，並且落實監督及稽核，確保資安規範的持續有效性，定期進行季度資訊安全模擬演練、新進同仁資訊安全教育訓練課程、舉行年度資訊安全訓練，資訊安全年度教育訓練為公司員工必訓課程，加強員工對於資訊安全意識、資訊安全宣導等以上作為改善作為，確保本公司重要機密資訊不外洩，減少資訊安全危害風險。
   
2. 具體管理方案架構

• 公司資訊系統伺服主機、員工所使用的電腦資訊設備，皆有安裝防毒軟體，並建置病毒防護管控系統，定期排程掃描病毒、更新病毒碼。
• 針對伺服器主機系統、電腦作業系統不定期進行弱點掃瞄並修正，以及不定期排程更新系統更新檔，防堵病毒感染及作業系統漏洞引發的資訊安全風險。
• 對外網路通訊系統，電子郵件傳輸有建置郵件安全防護機系統，防堵垃圾郵件、防止惡意郵件攻擊以及郵件內夾帶病毒、可疑網址防堵。
• 網際網路連結閘道進出口端，經由防火牆設備作進出網路監控及管制，針對網路封包透過入侵偵測設備管理，防護網際網路對公司內部網路服務連線，監控不正常行為封包，進行資通安全防護。
• 網頁瀏覽安全監控，員工連結網際網路瀏覽網頁進行網頁資安監控，掃瞄可疑網站是否帶有病毒、病毒程式，防範電腦瀏覽網頁中毒。
• 不定期舉行員工電腦設備操作、資訊安全教育訓練，提升員工資訊安全防護意識，並且落實最安全、嚴謹、縝密的資通安全障。
3. 投入資訊安全管理之資源，資訊安全推動成果