一、資通安全風險管理架構

A. 企業資訊安全治理組織： 本公司由資安室所籌組資訊安全管理委員會進行本公司資訊安全風險評估並針對中高風險項目進行控制措施；資訊安全管理委員會主要由1位主任委員(113年度由總經理擔任)、1位管理代表(113年度由資安室主管擔任)、各核心系統負責人和MIS主管擔任推行委員及資安室專責資安人員擔任資安政策小組成員。資安政策由資安室擬定後由各推行委員進行相關執行工作，並推展政策擴及全體同仁。最後由稽核人員進行查核，每年向董事會彙報資訊安全管理報告。



B. 資訊安全組織架構：
本公司資通安全之權責單位為由總經理室資安室主管負責規劃，並由資安室同仁負責制定、推動及監督相關管理事項及政策的落實；資訊中心同仁協助政策相關管理措施之執行。



C. 資訊安全人力架構：
。 資安專責人力 2 名 → 資安主管一名，資安人員一名，負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂
。 資訊中心協助人力 2 名:MIS人員兩名，協助資安設備導入、資安政策協助執行、資訊硬體設備更新與維護

二、資通安全政策

A. 存取控制：
。 限制對資訊及資訊處理設施之存取
。 確保授權使用者得以存取，並避免系統及服務的未授權存取
。 令使用者對保全其鑑別資訊負責
。 防止系統及應用遭未經授權存取

B. 實體及環境安全：
。 防止組織資訊及資訊處理設施遭未經授權之實體存取、損害及干擾
。 防止資產之遺失、損害、遭竊或破解，並防止組織運作中斷
。 定期維護及審視資訊資產所存放之機房環境安全

C. 資訊資產管理：
。 識別組織之資產並定義適切之保護責任
。 確保所有資產依其對組織之重要性，受到適切等級的保護
。 確保儲存於媒體之資訊的保密性、可用性、完整性

D. 資料傳送：
。 確保資料傳送可追溯性及不可否認性
。 維持傳送作業之可靠性及可用性
。 實體傳送使用破壞存跡或抗破壞之控制措施
。 使用規定之電子傳輸媒體傳遞資料，不可因貪圖方便而任意使用非法與不當之傳輸媒體

E. 傳輸媒體：
。 不得利用任何傳輸媒介透過資料傳遞、訊息傳送、發言或視訊等方式透露機密或敏感性 資訊給其他組織或人員
。 內部資訊網站須依權責及工作需求核發適當權限，以管制相關文件之存取

F. 網路安全：
。 網路使用者經授權後，只能在授權範圍內存取網路資源
。 對使用網路系統的電腦連接線路，應適當加以控制，以減少未經授權之系統存取或電腦 設施的風險
。 設定網路區隔之規劃，應遵循內外網路實體區隔規定，並應禁止個人無線網路裝置破壞 內外網路實體區隔之安全機制
。 非經授權嚴禁使用無線網路及私有有線設備與網路介接

G. 資訊安全事故管理：
。 確保對資訊安全事故之管理的一致及有效作法，包括對安全事件及弱點之傳達
。 建全資訊安全事故通報體系

I. 員工訓練：
。 資訊安全相關人員每年皆需進行專業資訊安全教育訓練，以增進專業知識
。 每年定期進行資訊安全教育訓練，提升同仁資安意識

J. 永續經營管理：
。 確保系統在遇到火災、地震等自然災害或人為因素時，仍能維持可用性與資料完整性
。 定期備份/災害還原演練確保復原後各系統及資料的完整性、可用性

三、具體管理方案

A. 管理方案項目管理方案內容電腦設備安全管理：
。 本公司電腦主機與各應用伺服器皆設置於專用機房，並保留進出紀錄供查驗
。 機房內部備配有獨立空調，維持電腦設備於適當的溫度環境下運轉；並放氣體式滅火設備以及氣體室滅火器，可適用於一般或電器所引起的火災。定期進行機房消防檢測，已維護消防偵測及設備的可用性
。 機房主機配置不斷電與穩壓設備，避免台電意外瞬間斷電造成系統當機，或確保臨時停電時不會中斷電腦應用系統的運作

B. 網路安全管理：
。 與外界網路連線的入口，配置企業級防火牆，阻擋駭客非法入侵 。 同仁由遠端登入公司內網存取核心系統，必須申請VPN帳號，透過VPN的安全方式始能登入使用，且均留有使用紀錄可稽查 。 外部協力廠商由遠端登入公司存取核心系統，必須申請VDI帳號，透過VDI始能登入使用，使用期間配有螢幕錄影工具進行紀錄備查 。 配置上網行為管理與過濾設備，控管網際網路的存取，可屏蔽訪問有害或政策不允許的網路位址與內容，強化網路安全並防止頻寬資源被不當占用

C. 病毒防護與管理：
。 伺服器與同仁終端電腦設備內均安裝有端點防護軟體，防止第三方透過這些裝置，在未經授權的情況下存取網路、應用程式或資料庫，以及協助保護端點不受惡意軟體侵害的安全措施 。 同仁所配置電腦設備均安裝防毒軟體，並且定期更新病毒碼，確保能阻擋已知最新型電腦病毒 。 電子郵件伺服器配置有郵件防毒、與垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者端的PC

D. 系統存取控制：
。 同仁對各應用系統的使用，透過公司內部規定的系統權限申請程序，經權責主管核准後，由資訊中心同仁協助建立系統帳號，並經各系統管理員依所申請的功能權限做授權方得存取 。 定期審視帳號的密碼制定政策，規定適當的強度、字數，並且必須文數字、特殊符號混雜，方能通過 。 同仁辦理調職手續時，依人資通知啟動帳號異動流程，進行各系統帳號的收回及異動作業 。 同仁辦理離(休)職手續時，依人資通知啟動帳號異動流程，進行各系統帳號的收回/刪除作業

E. 確保系統的永續運作：
。 系統備份：採取日備份機制，並備份3份；使用2種不同的備份方法(如磁帶備份、雲端備份等)，並且其中1份為異地備份，符合備份”3-2-1原則”以確保系統與資料的安全 。 郵件及組織備份：藉由郵件及組織內部通訊平台的資料備份，企業能保留作為相關法律證據，降低營業秘密外洩所帶來損失。 。 災害復原演練：每季實施一次針對重要伺服器及主機設備進行演練，選定還原日期基準點後，由備份媒體回存於系統主機，備份還原後會做測試確保完整性與正確性。 。 利用SD-WAN管理對外網路，擁有四條線路互為備援使用，確保網路通訊不中斷

F. 資安宣導與教育訓練：
。 提醒宣導：要求同仁定期更換系統密碼，以維護帳號安全。針對社交工程未通過同仁進行再教育宣導 。 資安宣導：提供資通安全實例文件給同仁參考

四、投入資通安全管理之資源

A. 工作用個人電腦，主機伺服器安裝具備主控台預警，每日定期防毒，更新病毒碼
B. 軟體系統如端點防護系統、備份管理軟體、入網管理設備、VPN認證、VDI遠端虛擬桌面系統及伺服器/系統日誌管理系統等
C. 硬體設備如防火牆、入侵防禦設備及機房消防設備等
D. 電信服務如多重線路、官網WAF保護、入侵防禦系統等
E. 投入人力如： 每日各系統狀態檢查、每週定期備份及備份媒體執行、每年至少一次資安宣導教育課程、每季系統災害備份還原演練、每年對資訊循環之內部稽核、會計師稽核等
F. 各場域與主機串聯安裝防火墻，或是對外連綫主機要求資安等級虛擬網路連綫。 管理BYOD，訪客，來賓入網政策
G. 入網電腦偵測必須安裝之必要防毒軟體以及身份
H. 每年安排主機弱點掃描，並針對中高以上風險進行弱點修復
I. 每年進行員工社交演練及針對未通過人員進行資訊安全教育

五、113年資通安全管理執行情況