資訊安全政策及管理方案

一、資訊安全風險管理架構
1.為提升資訊安全管理，本公司已於 109 年 10 月 30 日成立「資訊安全管理委員
會」，由電腦室主管擔任召集人，每年定期或視需要召集會議，審查資訊安全管
理發展方向及策略與相關事宜，並由電腦室提供資訊安全訊息及宣導，增進業
務運作之安全。
設置資通安全管理人員--資安主管 1 人及資安人員 1 人
2.112 年執行情形：
(1)112 年 12 月 1 日董事長任命由電腦室郭孟珍代理副主任擔任資安主管，郭雨
新工程師擔任資安人員，持續定期每月召開管理審查會議，主要內容為檢討
資訊安全政策、稽核報告、持續改善方案。
112 年度定期每月召開管理審查會議合計 12 次。
(2)電腦室持續不定期提供資訊安全訊息及宣導
電腦室不定期以電子郵件、聯絡單等方式通知全體員工最新相關資訊及提醒
注意事項，全力共同防範，以確保安全的網路環境。
(3)內部稽核持續配合年度稽核計畫執行資通安全檢查列為稽核項目，並將稽核
報告呈報審計委員會審核。
(4)加強防火牆的監控、追踪資訊安全，即時發現安全是否異常並報告資安事
件。
(5)每年不定時加強資訊人員資安教育。
3.112 年度資訊安全治理報告提報董事會情形：
提報 112 年 12 月份董事會報告(112/12/21)。

二、資訊安全政策
1.恪遵法令訂定相關資訊安全管理規章，強化資訊安全管理，確保本公司所屬之
資訊資產的機密性、完整性及可用性。
2.定期評估及進行內部稽核，確保本公司業務持續穩健安全運作。
3.督導本公司同仁落實配合資訊安全防護，提升各部門及人員對資訊安全之認
知。

4.要求本公司全體同仁及使用或連結本公司電腦系統之往來廠商，規範確實遵守
本公司資訊安全相關規定。

三、資訊安全管理方案
1.本公司針對資訊設備及網路設備，已透過保全監控作業避免設備被盜或惡意人
為破壞情事發生。
2.因應資訊安全日益重要，避免網路攻擊、勒索軟體，電腦病毒等資安議題，每
年執行安全防護機制並和外部資安廠商合作檢測。
3.每年針對資安事件演練及強化公司同仁資安危機意識及資安處理人員應變能
力。以期能防範並阻絕危機的擴散。
4.本公司內部稽核配合年度稽核計畫規範資通安全檢查列為稽核項目，依據內部
控制制度處理準則第 8 條規範個人資料保護之管理及第 9 條規範本公司使用電
腦化資訊系統處理者，其資訊部門與使用者部門應明確劃分權責，及下列控制
作業：
(1)、資訊處理部門之功能及職責劃分。
(2)、系統開發及程式修改之控制。
(3)、編製系統文書之控制。
(4)、程式及資料之存取控制。
(5)、資料輸出入之控制。
(6)、資料處理之控制。
(7)、檔案及設備之安全控制。
(8)、硬體及系統軟體之購置、使用及維護之控制。
(9)、系統復原計畫制度及測試程序之控制。
(10)、資通安全檢查之控制。
(11)、向主管機關指定網站進行公開資訊申報相關作業之控制。