资讯安全管理

资安风险管理架构

本公司因应气候变迁，依照气候相关财务揭露建议(TCFD)架构，透过四大方向逐步推动低碳转型与气候调适(如下表)，秉持企业成长与生态环境共荣的信念，期望透过实践绿色製造、生产绿色产品、导入绿色创新、厚植绿色管理，持续落实气候变迁与能源管理、水管理于日常营运，积极促进全球永续发展。

资安政策

为落实资安管理, 公司订有电脑化资讯系统处理循环与资安管理规范, 资讯部门执行各项资安工作业务, 处理政策如下：

1. 维护资料完整与可用性。
2. 确保依据部门职能规范资料存取。
3. 防止未经授权的资料与系统使用。
4. 降低公司网路系统遭受入侵之风险。
5. 防止网路资源被不当滥用。
6. 依循个资保护法规定, 针对存放个资之系统存取权限进行严格控管。
7. 针对到职与在职同仁进行资安宣导强化资安认知。
8. 资安样态收集, 风险评估与宣导防范。

具体管理方案

为降低资安风险, 并能在事件发生时以最短的时间排除异常, 维持公司正常运作, 本公司资安管理从以下几个构面展开

设备管理防护

• 防毒软体更新

• 作业系统弱点扫描与补强

• 持续关注资安变化趋势及时採取因应方案与培训

外部风险预防

• 建置防火牆规范外部存取，封堵入侵途径

• 建置垃圾邮件过滤机制，防止社交诈骗邮件

• 远程办公签核机制导入双因素认证

应变復原

• 系统备份机制建置与还原演练

• 应变计画订定(如骇客入侵/电力问题等)

执行状况

1. 本公司于112年成立资讯安全专责单位, 包含一名资安专责主管与一名资安专责人员
2. 本年度更新防火牆设备，整合外部资源降低受骇与钓鱼网站之风险
3. 为强化资讯安全机制及产业界资安情资交流,本公司自 112年加入中华民国资讯软体协会之资安长联谊会与加入台湾电脑网路危机处理暨协调中心(TWCERT)，透过参与协会交流及各类资安活动与接收各类情资，厚植本公司资安认知，提升资安防护能量
4. 今年已完成资料復原演练，确保可用性
5. 今年资讯安全宣导受训人数计50人次, 并不定期进行最新资安样态宣达
6. 本年度资安人员陆续参与协力厂商勒索病毒相关讲座计3次，提升资安职能专业
7. 本年度至目前为止, 无受骇导致影响公司营运之情事发生
8. 本公司定期检讨资安政策，定期向董事会报告：资安单位于113年11月1日向董事会报告资安风险管理架构、资安政策、资安相关风险评估结果及相关措施执行情形。