公司治理

本公司于總經理下設立「資安工作小組」，以督導本公司與旗下子公司之資訊安全管理制度，並藉由定期鑑別內、外部資訊安全管理風險來達成利害關係人對本公司資訊安全要求與期望。資安工作小組之組織執掌如下：

1. 資安長：綜理資訊安全政策推動及資源調度/核定資安政策/核定資安小組工作計畫/向董事會進行資安報告。
2. 資安專責主管：草擬資安政策目標/制定資安工作計劃/督導資安工作推進/檢視資安工作推行狀況並持續精進/主持日常資安工作會議/資安事件第一綫處理。
3. 資安專責人員:執行資安工作計劃/參與資安風險評鑒/依據資安政策,程式,辦法落實資安工作項目/參與專業培訓增加自身資安技能/推動資安教育提升全員資安意識/參與資安工作會議。

資安工作小組每年至少一次向董事會進行資安工作匯報。

1. 投入適當資源建立資安管理機制，强化員工資訊安全意識，全體員工均有責任及義務保護其所負責/使用之資訊資產的安全。
2. 適當授權，僅授予員工完成工作所需之必要許可權與資訊，防止人為意圖不當與不法情形，以確保公司重要資訊財產之機密性、完整性及可用性。
3. 本公司資訊安全措施，應遵循本公司資訊安全政策及相關的資安管理辦法，並符合法律法規要求。
4. 資訊安全事件發生時，須及時處置並適當回應。

本公司必須致力於資訊安全管理，以確保公司重要資訊財產之機密性、完整性及可用性，並符合相關法規或法令之要求，進而獲得客戶之信賴、提升公司競爭優勢，確保營運及重要業務永續運作。

1. 成立資安工作小組，推動集團資安防護工作。
2. 依循法規指引，建立内部資安相關管理辦法。
3. 執行資安風險評估，對風險項目進行改善。
4. 借由内外部稽核檢視資安工作落地狀況。

本公司對資通安全管理極為重視，於2021年本公司在外網新一代防火牆雙機、服務器端備份、郵件過濾及准入、無線網路安全、VPN、企業內部即時通訊平臺、上網行為管理、使用者終端備份、防毒、桌面管理及帳號與權限管理等領域皆有優化或新建措施，累計投入資源共計約153萬人民幣(約為685萬臺幣）。

主要完成的資安管理項目如下：

1. 導入新一代防火牆雙機和waf防火牆雙機，防止系統遭受駭客、病毒攻擊，同時雙電信服務商線路接入，保障業務系統運行的連續性。
2. 所有個人電腦作業系統升級至Windows 10。
3. 所有個人電腦和Windows伺服器安裝防病毒用戶端，並納入統一平臺管理。
4. 有線網路和無線實施准入限制，不符合安全要求或未通過身份認證的電腦不能接入內網。
5. 移動儲存控管，禁用未許可的外接式儲存設備。
6. 實施用戶端電腦資料防洩密，記錄使用者上網記錄等。
7. 內網所有用戶端電腦檔案同步備份，防止資料丟失。
8. 實現應用系統、作業系統及業務資料庫備份，並進行異地儲放，每年對主要業務系統進行災難復原演練。
9. 辦公場所和機房出入設立監控和加密門禁，員工離職後，自動刪除門禁權限。
10. 即時監控資訊系統的硬體、負載、服務、和計畫任務執行情況，實現郵件報警。
11. 遠端用戶通過特定電腦和特定VPN用戶端接入內網，同時記錄VPN使用者與內網的訪問信息。
12. 郵件防火牆過濾垃圾和惡意郵件。
13. 外寄電子郵件自動備份，依需求進行外寄前審核管理。
14. Team+即時通訊平臺保證資料安全。
15. 設置獨立的專用網盤，用於工程和招標檔保密交換。
16. 重要資訊系統的帳號與權限的審核與覆核。

另，2022年仍投入大量資源于下列項目，目前都在進行中

1. 法規遵循之上市上櫃公司資通安全指引的内化與落地，截至目前新增内部管理辦法二份，修改四份；資安相關管理活動由14項增加至25項。
2. 資安宣導與推廣活動籌劃，預計9月中執行
3. 職能與系統權限的重新檢視
4. 法規遵循之等級保護認證
5. SDWAN防火墻建設
6. 日志服務器建設
7. 共享文件與AD監控審計平臺建設