资通安全政策愿景：

• 强化人员认知。
• 避免资料外泄。
• 落实日常维运。
• 确保服务可用。

资通安全目标：

• 办理资通安全教育训练，推广员工资通安全之意识与强化其对相关责任之认知。
• 保护本集团业务活动资讯，避免未经授权的存取与修改，确保其正确完整。
• 使用合法授权软体并定期进行内部与外部稽核，确保相关作业皆能确实落实。
• 确保本集团关键核心系统维持一定水准的系统可用性。

资通安全管理委员会架构与工作执掌:


资通安全管理委员会：
委员长：
由本公司总经理担任资通安全委员长，核决资通安全政策与目标，并做为公司对外单位的统一发言人。

召集人：
由资讯最高主管担任召集人，确保资通安全政策与目标建立，且切合组织策略方向；并推动持续改善，追踪及汇总活动成果报告。

执行秘书：
由召集人指派资讯部门人员担任，协调资通安全执行小组与紧急处理小组执行资通安全相关作业。

资通安全执行小组：
为任务编组方式组成，由执行秘书指派专人担任组长与组员，负责执行各项资通安全活动。

紧急处理小组：
为任务编组方式组成，由执行秘书指派专人担任组长，各关键业务流程负责人担任组员，解决资通安全问题与预防措施改善。

资通安全稽核小组：
由资通安全委员长指派，负责评估资通安全管理制度之执行情形。

资通安全具体管理方案：
为提升资通安全管理，公司已在民国111年2月成立「资通安全管理委员会」，负责审视公司及各子公司资安治理政策，监督资安管理运作情形，并定期召开「ISMS管理审查会议」审理资安治理相关议题及持续改善， 以确立资通安全政策订定及适用性。

111年执行情形：「资通安全管理委员会」的委员长由总经理担任，召集人由资讯最高主管担任，负责资通安全治理、规划、督导及推动执行，以建构出全方位的资安防卫能力及同仁良好的资通安全意识。

资安策略主轴聚焦资安治理，法令遵循及科技运用三个面向来进行，从制度到科技，从人员到组织，全面性提升资安防护能力。
有鉴于目前资安新兴趋势，如DDoS(Distributed Denial of Service)攻击、勒索软体、社交工程攻击、伪冒网站等，公司定期关注资安议题并规划因应计画，针对不同资安情境演练，强化处理人员的应变能力，以期能在第一时间即侦测到并完成阻挡。且定期进行安全稽核作业，如弱点扫描或渗透测试，以确定资通系统及网路环境符合安全实施标准。

公司考量资安险仍是新兴险种，涉及资安等级检测机构、理赔鉴识机构及不理赔条件等相关配套，因此目前正在评估是否购买资安险。后续目标则是完备资安相关规范、定期资安评估、取得国际资安认证， 未来将持续强化资安防护与建立联防机制，尤其在培训优质资安人才上也要同步跟上，公司每年度定期公告宣导资安政策及安排资安相关教育训练。为因应资通安全所面临的挑战，如APT进阶持续性攻击、DDoS攻击、勒索软体、社交工程攻击、窃取资讯等资安议题，规划采取以下策略：

• 每年执行安全性检测、资通安全健诊、社交安全及资安事件演练。
• 强化公司同仁资安危机意识及资安处理人员应变能力，以期能事先防范及第一时间有效侦测并阻绝扩散。
• 公司每年度定期公告宣导资安政策，并培养具有资安证照的同仁。
• 对全体同仁施行资通安全教育训练，每人每年至少2小时。
• 每年至少1次向董事会报告，整理汇总年度执行资安风险状况。