資訊安全管理系統的建立與執行

1. 為有效推動公司資訊安全管理制度，已於2023年12月14日成立「資訊安全委員會」。由資安長擔任召集人，依照年度計劃或根據實際需要召開會議，對資訊安全管理的各項事宜進行審議，以確保制定資安策略能有效實踐其目標，從而提升公司業務的安全運作。

2. 資訊安全委員會由資安長擔任委員會負責人，各部門主管擔任執行秘書和資安代表。並指派各部門人員參與資安工作小組和緊急處理小組，負責進行資訊安全管理制度的策劃、實施、監督及其改善，並且處理資訊安全事故。

3. 資安稽核小組由稽核室主導，負責監督和審查資訊安全管理制度的有效性。確保每年至少進行一次針對資訊安全的內部稽核。另外，資訊安全委員會每年至少召開一次管理審查會議，主要是回顧資訊安全政策執行情況、討論利害關係人關注的資安議題、稽核結果、風險評估及持續改進的可能性。最近一次的資安內部稽核於2024年1月24日完成。

資安執行情形

1. 強化資訊安全： 2024年推動並執行強化資訊安全的措施，著重於系統、網路和硬體環境的提升與升級。

2. 降低資安事件發生機率： 通過各項強化措施，降低資安事件發生的風險與機率，並執行下列項目:
• 電子郵件社交工程演練測試，提升員工對網路釣魚攻擊的防範意識 。
• 資安宣導與教育訓練，加強員工對資訊安全防範的理解與應對能力 。
• 資訊資產威脅與弱點評估，全面盤點企業資訊資產的安全性，找出潛在風險 。
• 系統滲透測試與弱點掃描，提升防火牆 UTM 威脅防護、強化 Microsoft 進階攻擊防護功能，並升級資產管理系統以增強安全性。

3. 導入資訊資產管理系統：引進資訊資產管理系統，進行資產的監控與管理，增強資訊安全防護。

4. 導入網通管理系統：加強對網路資源的管理和監控，確保網路安全。

5. 強化硬體與環境管制區域：強化硬體設備與環境管制區域的管理，以保護重要資源與設備。

6. 取得TISAX認證資格：成功取得TISAX（Trusted Information Security Assessment Exchange）認證資格，在資訊安全方面符合國際標準。

資安目標

2024年未發生造成營運中斷、資料損毀或資料外洩等重大資通安全事件。