風險管理運作情形

本公司對於所有對營運及獲利可能造成影響的各種潛在風險，例如環境變動風險、成本風險、產品風險等，每年定期由稽核召開跨部門風險控制專案會議，各部門就其職掌完成風險評估及辨識，以減低對公司營運之衝擊。

資通安全政策

政策

本公司訂有「電腦資訊及資訊安全管理辦法」，依據公司內部實際管理需求，於2023年12月18日第二次修正施行。
員工均應依照公司所頒布的相關資訊保護辦法做好自我管理，並具備資安意識。除了資訊系統所提供服務之資訊安全控管措施，更著重保護重要個人及交易資料等資訊之機密性、完整性及可用性。同時強化資訊安全管理，確保資料、系統、設備及網路等軟硬體資訊安全，部署資訊安全防護技術，落實推動資訊安全管理作業及觀念，以避免因資訊或法律所造成的損失。

管理架構



• •資安管理代表：總經理或部門主管，掌管資訊安全發展方向與策略。
• •資安主管：規畫設計資訊安全軟硬體系統，訂定資訊安全管理辦法。
• •資安顧問：提供資訊安全相關問題諮詢，以提高資訊安全系統可靠性。
• •資訊安全執行小組：資訊安全維護及教育訓練。

具體管理方案

• 依各部門之分級並區分不同類別，擬定管理方式：

• 一、人員之管理：各級成員應簽署「遵循公司個人電腦軟體使用政策聲明書」（CE01-F04），以確保公司權益，避免公司被控侵權之行為。
  
• 二、文件之管理：由部門核實控管部門內持有之機密文件；部門間之調閱應依規定簽准，並切結不得外漏；外部機構除業務上聯繫需要外，一律不准將文件影印、攝影、抄錄、攜出或以電子郵件方式傳送，違反規定者，一律從嚴處置。
  
• 三、網路資訊安全：
  1.與外界連線端口，配置防火牆，阻擋駭客病毒入侵。
  2.員工由遠端登入使用公司系統資源，必須使用公司配發電腦，並透過VPN連線方可使用。
  3.無線網路須提供不同網段，以阻止外部人員侵入公司系統。
  
• 四、病毒防護管理：
  1.伺服器與使用者端均安裝防毒軟體，並且需自動更新以阻擋最新型病毒侵犯。
  2.建立垃圾郵件過濾機制，防堵病毒或垃圾郵件進入使用者電腦。
  
• 五、電腦安全：
  1.公司員工一律使用公司提供電腦設備，並由公司網域管控，禁止使用非公司設備登入網域系統。
  2.公司電腦一律使用正版軟體，除合法外，並可更新問題，以提升安全性。
  
• 六、系統存取控制：
  1.同仁對各應用系統使用，需經過主管核准後，各系統管控帳號人員方得授權使用。
  2.網域系統密碼需有適當強度，必須八碼以上並含數字中英文大小寫及特殊符號四選三。
  3.員工離職必須立即停用帳號，及收回原來配發之電腦設備。
  
• 七、系統永續：
  1.為確保系統安全度，每年須與相關資安顧問或合約廠商續約，以保持最新安全防護及諮詢。
  2.建立備份機制，並做異地備份。
  3.每年評估及模擬災害復原演練。
  4.汰舊過久設備，以避免零件故障而延誤公司營運，同時也須注意汰換廠商不再支援韌體更新之設備或系統版本。
  
• 八、資安宣導與教育訓練：
  1.定期宣導各種詐騙、病毒等資訊。
  2.不定期執行釣魚等方式，以提高員工警覺性。
  
• 九、即時通訊：公司網站除業務上需求外，一律不准從事與業務無關之上網事宜，本項即時通訊管理將以“機制管理”方式監控，以不定時調閱查核控管之。
  

  投入資通安全管理之資源

  2024年度資通安全設置人數為2人，舉辦資通安全管理訓練宣導課程：
  日期：113年9月26日~113年10月20日
  課程主題：《三資小豬》
  課程內容：確保系統設定安全適當、不使用與連接不明網域、設定不易猜測之密碼強度。
  實施方式：數位課程。
  地點：數位課程/本公司內部行政管理系統\公告。
  參與人數：本公司全體員工85名，參與者67名，參與率：79%。