一、資訊安全專責組織

本公司為強化企業永續發展及資通安全治理，設置資訊安全部門，並由資訊安全主管每年定期向董事會報告資安治理現況，包含重大資安議題、防護措施執行成效及未來規劃等。透過定期的董事會監督機制，確保公司資安政策能與時俱進，有效因應各類新興資安威脅。

二、資通安全管理政策

本公司的資通安全政策以「遵循資安法令、營運持續運作、定期資安宣導、落實資訊安全」作為指導準則。依循NIST網路安全框架（CSF）的五大構面，規劃以資通安全、網路安全、隱私保護為核心，確保機密性、完整性、可用性的資通防護體系。在管理面本公司已通過 ISO/IEC 27001:2022 國際資訊安全管理系統認證，目前證書之有效期為2025/09/04至2028/12/27，確保資訊安全管理符合國際標準。 

三、2026年資安防護架構：

1. 識別（Identify）

• 持續參與TWCERT/CC資安聯防組織，掌握最新資安威脅情資
• 確實遵循國內外資通安全相關法規及主管機關規範。
• 建立並維持資產盤點與風險評估機制，持續檢視關鍵資產風險。
• 定期執行風險評估與內部稽核，以識別並改善潛在資安風險。
  

2. 保護（Protect）

• 強化機房實體安全，包含環境監控、電力備援、空調及消防系統。
• 建置多層次網路防禦架構，涵蓋防火牆、端點防護及郵件威脅防護，有效抵禦惡意攻擊。
• 採用跨國加密專線傳輸，確保資料傳輸安全。
• 定期執行雲端備份，確保資料可用性與災難復原能力。
• 實施定期資安教育訓練與宣導，提升全員資安意識。
• 要求供應商遵循資通保密規範，落實供應鏈資安管理。
  

3. 偵測（Detect）

• 部署具備特徵比對與行為分析能力的端點偵測系統，即時識別並阻擋異常活動。
• 定期分析入侵防禦系統（IPS）日誌，識別惡意 IP 與攻擊模式。
• 定期執行核心系統弱點掃描與滲透測試，主動發現安全漏洞。
• 定期實施社交工程演練，提升員工對可疑郵件與社交工程攻擊的警覺。
  

4. 回應（Respond）

• 建立資安事件分級通報機制，依事件影響程度啟動對應處理流程並進行內外部通報。
• 即時發布資安警訊與防護建議，提醒員工注意新興威脅與攻擊手法。
• 執行資安事件根因分析與改善追蹤，建立預防措施降低類似事件再發生機率。
  

5. 復原（Recover）

• 建立業務持續運作（BCP）與災難復原（DRP）計畫，定義關鍵系統復原時間目標（RTO/RPO）。
• 定期執行備份還原與系統故障切換演練，驗證復原效能。
• 依據資安事件檢討結果，持續優化復原程序與應變能力。

透過ISO/IEC 27001:2022 標準的落實，我們將持續提升企業資通韌性，為永續經營奠定堅實基礎。

四、2025年度執行成果量化資訊

1. 資安治理投入

• 資安人員投入：3人（資安主管、工程師、顧問各1人）
• 資安管理會議：12次
• 資安定期宣導：12次
• 威脅情資蒐集：12次
• 資通協防通報：1次
  

2. 防護作為執行

• 內網電腦實名化並實施防火牆白名單上網管理
• 內網電腦全面導入EDR 端點防護
• 核心系統弱點掃描：3次
• 核心系統還原演練：4次
• 郵件社交工程攻擊演練：4次

3. 資安防護成效

• 郵件社交工程演練後即時教育訓練，覆蓋率：100%
• 全員防毒軟體安裝率：100%
• 新進人員資安教育訓練：100%