資通安全管理

資通安全政策與組織

為提升資通安全管理，本公司董事會於110年1月27日通過修訂「資通安全管理作業辦法」。

111年5月導入ISO 27001資訊安全管理系統（ISMS），歷年均穩定通過第三方公正機構SGS之定期審查，並於115年1月順利通過ISO/IEC 27001:2022認證。

資通安全政策 :
本公司資通安全風險管理主要包含法令遵循、資訊安全管理策略、教育規範與政策宣導、異常處理、監督管理及科技運用等主軸。其涵蓋事項如下，

資通安全風險管理架構

(1) 本公司由資安室負責全集團資通安全治理、規劃、督導，並成立跨部門之資訊安全管理委員會，每年至少召開1次會議，定期檢討資安政策，由資安室報告當期執行成果與未來工作計畫。
(2) 本公司資訊安全管理委員會，由本公司總經理擔任召集人；營運支援中心主管擔任執行秘書，負責執行各項目標協調工作；各事業部(群)最高主管與指派代表(代理人)皆為該會成員。
(3) 組織運作模式採定期稽核與循環式管理，以確保可靠度目標之達成與持續改善。

資通安全具體管理方案

(1) 資安稽核組 : 由資訊安全管理委員會召集人指派一員擔任組長，並設組員由組長指派擔任。主要職責為訂定相關之稽核計畫、執行稽核作業；提出稽核報告及相關建議事項；複查稽核報告不符合事項之矯正措施建置資訊安全措施，執行資訊安全監控等安全預防事項。
(2) 資安處理組：由資訊安全管理委員會召集人指派一員擔任組長，並設組員由組長指派擔任。主要職責為建置資訊安全措施，執行資訊安全監控等安全預防事項。規劃危機處理程序，清查危機事件原因、確定影響範圍及損失評估，執行應變措施，辦理資訊安全通報，並執行解決辦法等危機處理事項。
(3) 文件管制組 : 管理資訊安全管理系統文件發行、回收、保管、借閱與銷毀及版本管理。
(4) 公司針對資安重視及情資聯防，強化公司資安情資共享，提升資安事件通報應變能量，111年2月加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)會員，透過多元情資分享管道，達到跨域資安威脅聯防之綜效。
(5) 112年5月參加數位產業署與中華民國軟體協會合辦之資安檢測診斷服務。透過多層次資安健診，強化公司資安防護，揪出資安漏洞，解決資安問題。

投入資通安全管理之資源

(1) 本公司資安室設置資安主管與人員共3位，112年間陸續取得ISO 27001: 2022 LA主導稽核員證書。
(2) 112年度資通安全管理目標及執行情形，已於112年12月22日提報至資訊安全管理委員會，出席委員共計13位(出席率100%)，內容包含資訊安全架構檢視及改善；網路設備、伺服器及終端機等設備檢測；網路活動檢視；網站安全檢測以及集團(含各子公司)資安防護檢測。
(3) 符合資安管制範圍的員工，每年需至少接受三小時之資訊安全教育訓練，並列入當年度個人績效考核項目之一。112年度員工參與資安自辦或派外教育訓練，總計379人次、1596小時。
(4) 112年依據「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」執行，申請資安產品或服務投資抵減計畫，減免資安金額共80餘萬，亦於112年12月30日由經濟部產業發展署審核通過。

重大資通安全事件

最近年度及截至112年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實：
最近年度及截至112年報刊印日止，本公司無此情形。