設立目的

1. 協助董事會致力於持續推動資訊安全管理之落實，以強化公司治理體質、增進業務運作之安全為目的。
2. 委員會之組成及任期
3. 本委員會成員人數不得少於三人，由董事會決議委任之，至少應有一名委員為獨立董事。並由其中一名獨立董事擔任召集人。本委員會成員之任期與委任之董事會屆期相同，得連選連任。

職責範圍(包含下列事項，並定期向董事會報告)

1. 資訊安全政策及辦法之審議。
2. 資訊安全管理制度之檢視及審議。
3. 年度資訊安全推動計畫之審議。
4. 核備重大資安事故損失之檢討與因應措施。

1.                                                                            董事會

   ∣

                                                                         資訊安全委員會

   ∣

                                                                         召集人資訊部主管                                   資安管理小組

   ┌───────┬───────┼───────┬───────┐

       稽核室委派委員     資訊部委派委員         人資部委派委員          法務委派委員           行銷部委派委員

2. 資安委員會下轄資安管理小組，資安管理小組由資訊部主管擔任召集人，稽核室、資訊部、人資部、 法務暨行銷部各委派 1人為委員，如因職務調動應即刻指派遞補人員並辦理交接。資安管理小組負責規劃各項資訊安全作業、資訊安全預防與事件處理程序，並交由負責人員執行、管理實際執行成效及後續檢討程序修正事宜。

3. 資通安全風險管理架構

資訊部為獨立部門，負責統籌並執行資訊安全政策、宣導資訊安全訊息提升員工資安意識、評估改進資訊安全管理績效及有效性之技術、產品或程序等，以預防宣導、偵測防禦、應變復原為管理架構。

每年由稽核室就電子計算機循環內部控制制度，進行組織內資訊安全查核，評估資訊作業內部控制之有效性。

一、政策目的：

本公司為了達到營運與管理目標，訂定本政策。

二、適用範圍：

本公司全體人員、業務往來單位、委外服務廠商、訪客及使用本公司資訊服務之使用者等。

三、政策要求：

為落實相關法令之遵循，確保管理制度之有效性，凡違反管理制度相關程序規範者，依相關規定審議懲處。

四、責任：

任何危及資訊安全與個人資訊保護之行為，將視情節輕重追究其民事、刑事及行政責任。

資通安全政策

為使本公司業務順利運作，防止資訊或資通系統受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，並確保其機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)，特制訂本政策如下，以供全體同仁共同遵循：

1. 落實資通安全管理系統執行。
2. 有效管理資訊資產，持續執行風險評鑑，並採取適當之防護措施。
3. 保護資訊及資通系統避免受到未被授權的存取，保持資訊及資通系統的機密性。
4. 防護未經授權的修改以保護資訊及資通系統之完整性。
5. 確保經授權之使用者當需要時能使用資訊及資通系統。
6. 符合法令與法規要求。
7. 評估人為或天然災害之影響，訂定核心資通系統之復原計畫，確保核心業務可持續運作。
8. 落實資通安全教育訓練及新進人員資安宣導，以提高員工之資通安全意識。
9. 落實人員辦理業務涉及資通安全事項之獎懲機制。
10. 落實委外廠商管理，以確保資通服務之安全。
11. 落實稽核執行及管理審查流程，以達致資訊安全管理制度之持續改善。
12. 推動資安防護整合，強化資安聯防及情資分享。

資通安全目標區分為量化型及質化型目標：

• 量化型目標：(項目：比率/頻率；地點:全部)

1. 資通系統可用性：99.9%/年。(中斷時數/總運作時數≤ 0.1%)
2. 知悉資安事件發生後，於規定的時間完成通報、應變及復原作業的比率：100%。
3. 電子郵件社交工程演練之郵件開啟率：低於4%。
4. 電子郵件社交工程演練之郵件附件點閱率：低於2%。
5. 辦理社交工程演練計畫及作業：1次。
6. 辦理資安及社交工程教育訓練：1次。
7. 「全球資訊網」發生資料遭竄改之資通安全事件：≦2次/年。
8. 帳號權限管理未授權事件：≦1件/年。
9. 辦理滲透測試及弱點掃瞄作業：1次/3年。
10. 辦理資訊安全稽核：1次。
11. 辦理系統復原演練：1次。(Oracle、生產管理系統、Hyper-V)

• 質化型目標：

1. 適時因應法令與技術之變動，調整資通安全維護之內容，以避免資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。
2. 達成資通安全責任等級分級之要求，並降低遭受資通安全風險之威脅。
3. 強化委外廠商之選任、監督、管理，嚴格審視委外契約，建構安全服務通道，確保供應鏈關係之資通安全。
4.  提升人員資安防護意識、有效偵測與預防外部攻擊等。

具體管理方案

• 網路資安管控

1. 架設防火牆(Firewall)，並維護防火牆政策。
2. 定期對電腦系統及資料儲存媒體進行病毒掃瞄。
3. 進行電腦系統軟體盤點及安全性更新。
4. 各項網路服務之使用應依據資訊安全政策執行。
5. 定期覆核各項網路服務項目System Log，追蹤異常情形。

• 資料存取管控

1. 電腦設備應專人保管，並設定帳號與密碼。
2. 依據職能分別賦予不同存取權限。
3. 人員離職須取消原有權限，調職人員調整應有權限。
4. 設備報廢前應清除或覆寫儲存媒體內容。
5. 遠端登入系統應經適當之核准及給予適當存取權限。

• 應變復原機制

1. 每年檢視資安政策、資安防護及緊急應變計劃。
2. 每年進行系統復原演練。
3. 建立系統備份機制，落實異地備份存放。
4. 檢討電腦網路安全控制措施並給予適當調整。

• 宣導及檢核

1. 隨時宣導資訊安全資訊，提升使用者資安意識。
2. 每年執行資通安全檢查並檢討是否需要改善及追蹤。