为落实永续发展，保障公司机密资料及顾客隐私，本公司于2012年建立“资讯安全管理委员会”，执行资安政策布达与建立沟通机制，有效防止资讯遭窃取、窜改、灭失或遗漏，除了保障资讯的机密性（Confidentiality）、完整性（Integrity）及可用性（Availability）之外，还须符合ISO 27001标准或资安相关法规。
 

资讯安全管理委员会

本公司于2012年12月成立“资讯安全管理委员会”，负责审视资讯安全治理政策、监督资安管理运作情形、建构全方位的资安防护机制、提升同仁资安意识、定期评估资讯安全风险。自2020年起，每年向董事会报告执行状况。

本委员会由本公司总经理指派一位人员或本公司副总经理担任主任委员（以下简称主委），委员由各单位一级主管组成，协助主委管理维运，各单位管理代表则督导及管理各单位同仁与委员会事务相关事宜，并于辖下设置风险管理与营运持续小组、事件应变小组及文件小组，组织架构图请参下图：

资讯安全政策

本公司参考ISO 27001与NIST规范，并依据内部实际管理需求制定以下资讯安全政策：

• 资讯管理中心各单位均建立相关资讯资产清单，并明定拥有者，依资讯资产等级差异，执行风险评鑑作业，针对高于可接受水准之风险应进行风险管理，以有效降低风险，并持续落实各项管控措施。
• 相关人员录用应进行必要之考核并签署相关作业规定文件，异动或离职时应归还其资讯资产、新进与现任同仁皆须参加资讯安全教育训练，以提升资讯安全防护之认知观念。
• 进出公司大楼及资讯安全管制区域时，应落实相关门禁管控及物品携出入规定。
• 严禁同仁私自架设网路设备串接外部网路与公司内部网路，且内外部网路均设置防火牆、非武装区（DMZ）及必要安全设施，重要设备应建置适当之备援或监控机制，维持其可用性；同仁之个人电脑应安装防毒软体且定期更新病毒码，并禁止使用未经授权软体。
• 同仁个人持有之帐号、密码与权限应善尽保管与使用责任、管理人员应定期清查复核，重要系统运作资料应定期备份并执行回復测试。
• 系统开发应于初始阶段考量安控机制之建置；委外开发部分应强化控管及契约资讯安全之要求。
• 同仁如遇资讯安全事件，应立即通报，并依照资讯安全事件处理说明书程序处理，避免事件扩大，并配合权责部门共同解决。
• 同仁日常作业应落实确认复核机制，维持资料准确性，主管人员应督导资讯安全遵行制度落实情况，强化同仁资讯安全认知及法令观念。
• 本公司定期检视资讯安全政策，以回应政府法令、技术及业务等最新发展现况，并由资讯安全管理委员会依资安政策调整其目标，以确保资安实务作业之有效性。

资讯安全风险鑑别

• 政策：以ISO 27001的14个控制项目与114个控制措施为依据，从网路安全、主机安全、应用系统安全、设备安全、作业分析及资安管理等六大面向强化资安，将风险改善流程化及数据化，建立资安防禦纵深架构，提升资安强度。
• 年度目标：订定年度资安管理目标，依其特性制定评量数据，透过数据化的指标及标准化流程针对不合规或明确风险提出改善建议并列入追踪。
• 弱点扫描：为因应日新月异的骇客入侵手法，我们定期针对提供服务之相关系统进行弱点扫描，并于三个月内全数修復完毕。

资讯安全教育训练

• 资安训练：开办“新人e起来：资讯安全”、“电子邮件社交工程攻击”、“网路钓鱼与变脸诈骗”、“网络安全识别与防护要领”、“网络信息安全与计算机使用规范”及“公司资安教育训练”等11堂资安相关课程，共2,756人次参训。
• 资安公告：不定期进行资安宣导公告，以提醒员工注意相关风险，避免重蹈复辙，造成公司营运损失，2024年共进行8次资安公告。
• 社交工程演练：对全集团同仁进行2次电子邮件社交工程演练。

资讯安全措施

• 制定纵深防禦资安架构，从网路安全、主机安全、应用系统安全、设备安全、作业分析及资安管理等六大面向强化资安。
• 强化资安防护架构，升级鑑识分析平台，让资安防护无漏洞。
• 保持与国际威胁情资中心同步，即时更新威胁情资，并透过主动式预警分析引擎来有效阻挡恶意连线并主动猎捕可疑行为，再搭配资安专家进行鑑识调查，强化骇客防禦系统。
• 因应对外提供服务系统的更新，自2020年起，每年至少执行1次平台弱点扫描及1次社交工程演练。