風險管理

一. 資通安全風險管理架構：

為落實公司資通安全、強化各部門資通安全管理，依資通安全政策成立「資通安全委員會」。

1.職責:

1. 訂定資通安全政策及資通安全管控機制。
2. 督導資通安全政策之實施。
3. 矯正與預防資通安全措施。
4. 資通安全事件緊急應變及危機處理。
5. 執行資通安全教育訓練。

2.組織架構:

3.職掌

1. 資安委員會：負責資通安全管理制度相關事項之決議及管理審查。
2. 資安稽核小組：負責資通安全相關作業內部稽核作業。
3. 資安緊急應變小組：負責資通安全事件緊急應變及危機處理、規劃及執行災害復原演練
4. 資安執行小組: 負責資通作業之安全管理、遇到重大資安事件時通報緊急應變小組進行處理。

為遵循個人資料保護法及其他相關法令之規定，並落實個人資料管理、維護與執行等事宜，以避免造成當事人之權益受到侵害，依據個人資料保護管理辦法成立「個人資料保護管理委員會」由總經理擔任召集委員，其餘組成委員包含總經理室、法務室以及管理處等部門之主管。

二. 資通安全政策：

為強化資通安全管理，確保本公司資訊資產之機密性、完整性及可靠性，以提供本公司之資通業務持續運作之資訊環境，並符合相關法規之要求，及避免遭受內、外部的蓄意或意外之威脅，訂定「資通安全政策」以供遵循，並由資通安全小組持續推動資訊安全管理工作，確保資通安全管理機制之運行。

本公司新進員工報到當日即簽屬保密合約書，並可從公司公共資料槽閱讀資訊循環相關規定，且透過不斷的教育訓練及宣導，提升員工資安意識並內化於各項作業中，以落實最安全及嚴密的資安保障。因資通安全管理的落實，112年度並未發生重大資安事件，亦無因資安遭受相關主管機關裁罰。

對於個人資料蒐集、處理及利用等相關程序，訂定「個人資料保護管理辦法」以供遵循，並由個人資料保護管理委員會負責個人資料保護政策之擬訂、推展及管理，以確保符合法令規定，及保護當事人資料安全。本公司利用個人資料皆限於特定目的範圍內，112年無接獲相關投訴之案件。

三. 具體管理方案：

本公司資通安全保護範圍包含員工、客戶以及營運相關資訊軟硬體設備，資訊軟硬體設備管控包含網際網路、個人資訊設備(如桌上型電腦、筆記型電腦、平版電腦等)、公司SAP系統/ERP系統、公司網頁等。

為落實本公司之資通安全，本公司運用下述管理方案:

1. 建置防火牆，阻擋病毒及駭客入侵攻擊公司內部網路。
2. 各電腦安裝趨勢科技之防毒軟體且設定自動更新，加強用戶端防護。
3. 委外管理網站使用網路狀態，隨時掌握是否有異常發生，以預防駭客惡意攻擊，及保障網路系統正常運作。
4. 內部資訊系統操作時，依據職務設定權限，並由系統強制要求使用者每3個月變更密碼，並規範密碼長度及安全強度。
5. 資料機密性分級，重要資料需使用金鑰及密碼傳送。
6. 落實公司重要資料進行定期備份及異地存放，且每年實際執行備份復原及災害演練作業。
7. 本公司針對資通安全執行內外部稽核:
   內部:由資訊部每年定期執行資通安全作業自評檢查；稽核室將資通安全檢查作業列入年度稽核計畫之必要稽核項目，定期執行查核，以保障設計及執行是否持續有效。
   外部:安侯建業聯合會計師事務所每年進行資訊審計。
8. 定期每年向董事會報告資訊安全(含個人資料保護)作業實施情形，最近一次向董事會報告日期為112年11月8日。

本公司各部門針對個人資料之蒐集、處理及利用，皆以誠實信用方式進行，不逾越特定目的之必要範圍，並與蒐集之目的具有正當合理之關聯。為落實本公司之個人資料保護，本公司運用下述管理方案:

1. 各部門設置專人負責辦理個人資料保護相關工作。
2. 各部門建立個人資料文件清冊，並進行個人資料風險評估，每年進行一次個人資料盤點，落實風險控管處理。
3. 法務室定期舉辦個人資料保護之相關教育訓練，並提供個人資料保護認知之宣導，以提升對個人資料安全維護之觀念。
4. 稽核室將個人資料保護之管理作業列入年度稽核計畫之稽核項目，定期執行查核。

四、投入資通安全管理之資源:

1. 本公司設置有資訊部，由專人負責軟硬體管理及網路安全維護。
2. 本公司設置有網頁及電子商務課，由專人負責管理公司網站資訊、監測網站流量及維護網站安全，於112年啟用全新改版的公司網站，讓使用介面更友善、順暢，也讓資訊安全防護更升級。
3. 本公司營運所使用之系統軟體及電子簽核系統，簽訂有維護顧問合約，由委外廠商提供相關問題排除、版本更新、諮詢服務等。
4. 本公司簽訂有防火牆維護合約，由委外廠商提供維護及保護服務。
5. 本公司執行異地備援，及資料異地保存機制，並定期執行災害復原演練。
6. 112年度教育訓練