公司治理Corporate Governance

資訊安全政策及管理方案

資訊安全風險管理架構

。本公司資訊安全之權責單位為網管部，該部設置資訊主管乙名，與專業資訊人員數名，負責訂定內部資訊安全管理規範、規劃暨執行資訊安全作業與資安政策推動與落實。本公司資訊安全管理執行情形每年定期向董事會報告。
。本公司稽核部為資訊安全監理之督導單位，該部設置稽核主管乙名，負責督導內部資安執行狀況，若有查核發現缺失，旋即要求受查單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。
。組織運作模式如下圖，確保可靠度目標之達成且持續改善。

資訊安全政策及具體管理方案

本公司資訊安全管理機制，包含以下三個面向：
(一)制度規範：訂定公司資訊安全管理制度，規範人員作業行為。
(二)科技運用：建置資訊安全管理設備，落實資安管理措施。
(三)人員宣導：進行資訊安全宣導，提昇全體同仁資安意識。

本公司實施之資訊安全管理措施，包含如下：
(一)主管確認新進人員、合約商及第三方人員於接觸公司相關營運、交易資訊前熟知公司之資訊安全政策。每年於政策更新後重新對人員進行宣導，並要求人員遵循本政策。
(二)定期檢討資訊安全政政策，並於電子商務環境發生變動時進行檢討及更新。
(三)定期或於電子商務環境發生重大變化時，識別電子商務服務所面臨的威脅及弱點，並考量適切的管控。其中包括資產盤點、風險評鑑與產生風險處理計畫或建議。
(四)定期執行電子商務相關營運系統之帳號及權限審查。
(五)定期對公司人員執行資訊安全認知宣導。
(六)定期對公司電子商務相關網站進行弱點的識別，並採取適當措施強化。
(七)重要交易資料應定期備份，重要系統應建立備援機制。
(八)定期內部稽核，且留存紀錄並提出矯正預防措施。

投入資通安全管理之資源

資訊安全已為公司營運重要議題，對應資安管理事項及投入之資源方案如下：
(一)專責人力：設有專職之企業組織「資安小組」，負責公司資訊安全規劃、技術導入與相關的稽核事項，以維護及持續強化資訊安全。
(二)客戶滿意：無重大資安事件，無違反客戶資料遺失之投訴案件。
(三)教育訓練：全體員工皆完成資訊安全教育宣導。

資安公告：每年製作一份以上資安公告，傳達資安防護重要規定與注意事項。