資通安全政策願景：

• 強化人員認知。
• 避免資料外洩。
• 落實日常維運。
• 確保服務可用。

資通安全目標：

• 辦理資通安全教育訓練，推廣員工資通安全之意識與強化其對相關責任之認知。
• 保護本集團業務活動資訊，避免未經授權的存取與修改，確保其正確完整。
• 使用合法授權軟體並定期進行內部與外部稽核，確保相關作業皆能確實落實。
• 確保本集團關鍵核心系統維持一定水準的系統可用性。

資通安全管理委員會架構與工作執掌:


資通安全管理委員會：
委員長：
由本公司總經理擔任資通安全委員長，核決資通安全政策與目標，並做為公司對外單位的統一發言人。

召集人：
由資訊最高主管擔任召集人，確保資通安全政策與目標建立，且切合組織策略方向；並推動持續改善，追踪及彙總活動成果報告。

執行秘書：
由召集人指派資訊部門人員擔任，協調資通安全執行小組與緊急處理小組執行資通安全相關作業。

資通安全執行小組：
為任務編組方式組成，由執行秘書指派專人擔任組長與組員，負責執行各項資通安全活動。

緊急處理小組：
為任務編組方式組成，由執行秘書指派專人擔任組長，各關鍵業務流程負責人擔任組員，解決資通安全問題與預防措施改善。

資通安全稽核小組：
由資通安全委員長指派，負責評估資通安全管理制度之執行情形。

資通安全具體管理方案：
為提升資通安全管理，公司已在民國111年2月成立「資通安全管理委員會」，負責審視公司及各子公司資安治理政策，監督資安管理運作情形，並定期召開「ISMS管理審查會議」審理資安治理相關議題及持續改善， 以確立資通安全政策訂定及適用性。

111年執行情形：「資通安全管理委員會」的委員長由總經理擔任，召集人由資訊最高主管擔任，負責資通安全治理、規劃、督導及推動執行，以建構出全方位的資安防衞能力及同仁良好的資通安全意識。

資安策略主軸聚焦資安治理，法令遵循及科技運用三個面向來進行，從制度到科技，從人員到組織，全面性提升資安防護能力。
有鑑於目前資安新興趨勢，如DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、偽冒網站等，公司定期關注資安議題並規劃因應計畫，針對不同資安情境演練，強化處理人員的應變能力，以期能在第一時間即偵測到並完成阻擋。 且定期進行安全稽核作業，如弱點掃描或滲透測試，以確定資通系統及網路環境符合安全實施標準。

公司考量資安險仍是新興險種，涉及資安等級檢測機構、理賠鑑識機構及不理賠條件等相關配套，因此目前正在評估是否購買資安險。後續目標則是完備資安相關規範、定期資安評估、取得國際資安認證， 未來將持續強化資安防護與建立聯防機制，尤其在培訓優質資安人才上也要同步跟上，公司每年度定期公告宣導資安政策及安排資安相關教育訓練。為因應資通安全所面臨的挑戰，如APT進階持續性攻擊、DDoS攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題，規劃採取以下策略：

• 每年執行安全性檢測、資通安全健診、社交安全及資安事件演練。
• 強化公司同仁資安危機意識及資安處理人員應變能力，以期能事先防範及第一時間有效偵測並阻絕擴散。
• 公司每年度定期公告宣導資安政策，並培養具有資安證照的同仁。
• 對全體同仁施行資通安全教育訓練，每人每年至少2小時。
• 每年至少1次向董事會報告，整理彙總年度執行資安風險狀況。