公司治理

本公司於總經理下設立「資安工作小組」，以督導本公司與旗下子公司之資訊安全管理制度，並藉由定期鑑別內、外部資訊安全管理風險來達成利害關係人對本公司資訊安全要求與期望。資安工作小組之組織執掌如下：

1. 資安長：綜理資訊安全政策推動及資源調度/核定資安政策/核定資安小組工作計畫/向董事會進行資安報告。
2. 資安專責主管：草擬資安政策目標/制定資安工作計劃/督導資安工作推進/檢視資安工作推行狀況並持續精進/主持日常資安工作會議/資安事件第一綫處理。
3. 資安專責人員:執行資安工作計劃/參與資安風險評鑒/依據資安政策,程式,辦法落實資安工作項目/參與專業培訓增加自身資安技能/推動資安教育提升全員資安意識/參與資安工作會議。

資安工作小組每年至少一次向董事會進行資安工作匯報。本年度之資安工作內容，業已於2024年8月21日於董事會完成彙報。

1. 投入適當資源建立資安管理機制，强化員工資訊安全意識，全體員工均有責任及義務保護其所負責/使用之資訊資產的安全。
2. 適當授權，僅授予員工完成工作所需之必要許可權與資訊，防止人為意圖不當與不法情形，以確保公司重要資訊財產之機密性、完整性及可用性。
3. 本公司資訊安全措施，應遵循本公司資訊安全政策及相關的資安管理辦法，並符合法律法規要求。
4. 資訊安全事件發生時，須及時處置並適當回應。

1. 成立資安工作小組，推動集團資安防護工作。
2. 依循法規指引，建立内部資安相關管理辦法。
3. 執行資安風險評估，對風險項目進行改善。
4. 借由内外部稽核檢視資安工作落地狀況。

本公司對資通安全管理極為重視，持續優化並新建各項措管理措施，2024年主要投入資通安全管理之資源如下：

1. 委由認證機構對CRM會員系統進行網路安全等級保護評級：機房實體環境、應用系統安全、網路邊界安全防護、安全管理制度等進行全方位評測和改造，共計投入25個工作人天，費用33.75萬。
2. 為提倡全體公司同仁之資安意識，進行為期3周全員釣魚郵件演練，公司人均參與相關活動1.5小時，投入費用10.8萬。
3. 資安人員技能培訓，共計參加线上教育訓練30小時，投入費用1.12萬。
4. 持續對資安管理辦法進行增修，投入5個工作人天。
5. 進行年度資通風險評估，投入18工作小時。
6. 加強郵件安全，升級郵件防火牆，過濾進出郵件，共計投入10個工作人天及費用5.8萬。
7. 規範終端上網行為，升級上網行為管理系統，調整上網策略，共計投入7個工作人天及費用9.45萬。
8. 對全網伺服器和WEB服務進行漏洞掃描和評估，發現漏洞進行測試並修復，共計投入12個工作人天及費用4.3萬。
9. 對各系統的帳號權限進行全面梳理及複核，投入約40個工作人天。
10. 加強檔案伺服器管理，對文件夾檔案授權進行梳理和覆核，投入12個工作人天。