一、資通安全風險管理架構

本公司資訊安全負責單位為管理部，負責相關管理作業程序，規劃、執行及推動資訊安全，並定期檢討作業程序。(111年已於111.11.11向董事會報告)
稽核中心為資訊安全監理之查核單位，稽核資訊安全規範，並定期查核是否落實資安規定，以降低資安風險、損害。

二、資通安全政策

1. 說明：
   依據內控TS-O-023電腦化資訊系統處理控制作業之細則辦法TS-O-023-11資通安全檢查之控制作業中所規範，應訂定適當之資訊安全政策，並每年定期向員工宣達相關規定，若有相關法令修正將隨時予以宣導。
   
   
2. 辦法：
   (1)使用者應嚴格控管密碼，避免密碼被其他人員知悉，進而不當破壞或更新資料；於必要時應更新各作業系統(電腦登入、ERP系統、電子表單、電子郵件信箱)使用密碼，以確保資料之完整性、安全性。
   (2)使用者對於不明來源的資訊(電子郵件、網址連結)請勿任意點選以免造成電腦系統感染病毒、木馬程式等。
   (3)使用者不得利用電子郵件帳號散撥含電腦病毒、木馬程式、垃圾郵件及其他非公務、非工作相關之郵件。
   (4)使用者進行資訊處理時不得私自蒐集或洩漏公司業務資訊。
   (5)使用者電腦不使用欲離開座位時請使用鍵盤之“Ctrl + Alt + Delete”組合鍵功能，點選“鎖定此電腦”再離位，以確保個人電腦資訊安全，防止離位時遭有心人士趁機使用電腦查看、修改資訊。
   (6)使用者請養成定期備份資料之習慣，慎防硬碟意外故障造成硬碟儲存資料遺失。
   (7)使用者不得私自下載安裝軟體，若私自下載或安裝非法軟體、或侵害其他智慧財產權之行為，必須自行承擔所引發的法律問題及一切責任糾紛。
   (8)使用者若有軟體需求請先聯繫資訊單位，如確認為工作需要且為合法可安裝之軟體，經使用者部門主管同意後，將由資訊單位協助處理安裝；如需求軟體屬於需購買授權才可使用者，請使用者依採購辦法提出申請；另如經資訊單位檢查發現電腦有安裝非作業用途之軟體，資訊單位有權卸載或刪除該軟體。
   (9)使用者如發生電腦硬體故障、軟體系統異常、電腦中毒等狀況時，應立即通知資訊單位處理，以防止問題擴大影響其他使用者，如無法由資訊單位自行修復者，將另委由外部廠商處理維修。
   (10)使用者對於個人電腦設備有保管責任，不可自行拆解或自行加裝配備，如有相關需求請與資訊單位聯繫。
   (11)如使用者未遵守資訊安全政策宣導而導致電腦主機發生損害故障，甚而影響公司運作時，將依獎懲作業管理辦法提報公司懲處。
   (12)資訊安全政策得以紙本、電子郵件等方式公告周知。資訊安全政策經董事長核准後實施，修正時亦同。

三、資通安全具體管理方案

內部定期進行防護系統查核等相關資安檢測，提供相關資安宣導及教育訓練課程，並與資安系統商簽立維護合約，協助監控並防範資安攻擊。

1. 實體安全：
   (1)機房環境與門禁管制，非相關作業人員禁止進入。
   (2)資訊硬體管制，員工非經申請不得攜帶私人電腦設備及儲存裝置。
   
   
2. 系統安全管理
   (1)資訊軟體管制，員工不得私自安裝軟體，所有安裝需經資訊人員檢示，且該單位主管同意。
   (2)系統異動需記錄說明，並知會相關人員。
   (3)定時檢查系統漏洞並更新修補程式。
   (4)內、外部網路存取管控，定時檢查記錄，是否有違反資安政策之動作。
   
   
3. 資料存取管理
   機密文件調閱，人員帳號權限皆需提出申請，並經相關單位部門主管核示，依機密重要性逐級核示。
   
   
4. 災害應變防治措施
   (1)建立系統、網路狀態監控及通報機制。
   (2)資料備份措施：日備份於檔案伺服器、週備份外接硬碟(異地)並退出，分散同一區網內儲存資料毀損風險。
   　系統備援機制：另與廠商簽立備援主機維護合約，發生狀況時，提供備援主機及時上線。
   (3)每年一次災害復原演練(網路攻擊、資料復原等)。