公司治理

為提升資訊安全管理，本公司於管理中心下設置資訊暨技術部，負責公司資訊安全規劃、督導及推動執行，以建構維護公司的資安防衛能力及同仁良好的資訊安全意識與觀念。

✥資訊安全政策範圍

• 電腦及網路資源的使用及維護規範。
• 員工對於公司資訊設備的合理使用範圍。
• 禁止員工對於公司資訊設備的非合理使用。

✥資訊安全管理方案

資訊安全管理方案涵蓋12項管理項目，避免因人為疏失、蓄意及天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司帶來各種可能之風險及危害。本公司制訂的管理方案大項如下：
(一)安全政策
(二)資訊安全組織
(三)人力資訊安全
(四)存取控制
(五)實體與環境安全
(六)營運安全
(七)資訊系統獲取、開發及維護
(八)通訊安全
(九)供應商關係
(十)資訊安全事件管理
(十一)有關於資訊安全方面的營運持續管理
(十二)適法性
本公司之內部人員、供應商與訪客皆應遵守。

✥資訊安全管理措施

　　預防措施(如不定期資訊安全政策宣導、不定期審查重要資訊系統存取權限、強制執行定期變更登入密碼等)執行情形，定期(按季)於部門會議檢討資安政策，負責資安管理運作，並定期(每年至少一次)向董事會報告資安治理運作概況。

　　有鑑於目前資安趨勢，如DDoS攻擊，勒索軟體、社交工程攻擊、偽冒網站等，除加強同仁的資訊安全意識外，每年與國際資安廠商交流，進行DDoS等攻防演練，強化處理人員的應變能力，以期能在第一時間即偵測到並完成阻擋。
　　考量資安險仍是新興險種，涉及資安等級/理賠鑑識機構及不理賠條件等相關事項，尚無投保資安險，仍有待評估中。目前以持續遵循資安法規、完備資安規範、定期資安評估、強化資安防護機制，並持續培訓公司資安人員的專業職能為主要目標。

✥資訊安全稽核機制

(一)資訊單位應對資訊系統包含電子郵件保存log紀錄並執行不定期監控，以檢查異常事項。並隨時注意公司所發生之資安事件，針對事件發生之成因及後果詳加評估，以配合矯正預防措施之執行，改善整體資安環境，降低資安事件發生之機率。
(二)稽核單位依風險評估將資通安全列為稽核項目時，則應瞭解其遵循情形並作成稽核報告，以合理確保公司落實員工使用電腦及網際網路安全之管理。
(三)為因應突發性、專案性或特殊性之需要時，得針對特定目的之項目、單位或人員，由資訊單位會同稽核單位與法務單位進行專案稽核工作。

提報董事會日期	資安治理執行情形
108.11.12
109.11.13
110.11.08
111.11.10
112.11.13
113.11.11