公司治理

(一)、資訊安全推動組織

本公司成立資通安全推動組織，強化本公司資訊安全管理，確保所屬各項資產、資訊的機密性、完整性及可用性，以符合相關法規之要求，使其免於遭受內、外部蓄意或意外之威脅。

(二)、資通安全政策

為有效提供良善的資訊安全治理、保護公司及客戶與個人之資訊資產免於遭受內外蓄意或意外之破壞，並對於所處理、儲存或傳遞之資料善盡保護管理之責，本公司已於2025年底通過ISO27001:2022轉版查核驗證，確認資訊安全管理系統能有效因應目前的數位環境和新興威脅的相關風險，最新版證書效期為2026/1/14~2029/1/14。

本公司已制定資訊安全政策與規範以及監控資安執行目標之適切性與有效性。本公司資通安全相關作業程序，包含關鍵業務及其重要性、資訊資產盤點及風險評鑑、應用系統發展及維護安全、個人資料保護政策、資通安全防護及控制措施、資通系統或服務委外之管理措施、資通安全事件通報應變、資通安全之持續精進及績效管理機制等。本公司每年持續檢視與修訂相關資訊安全政策、管理程序與作業辦法。確保人員、管理流程與資訊科技之管理，並使各單位確實瞭解資訊安全政策，遵循相關管制作業程序而持續提升各資訊服務系統所有作業之機密性、完整性與可用性，以維護本公司所有業務之資訊安全與永續經營理念。

2025 年本公司發布「AI 政策與指引」，建立涵蓋資料分類、AI 工具分級、負責任 AI 原則與風險管理的完整治理架構，確保AI 使用皆符合資訊安全、隱私保護與法規要求。公司同步透過內部電子報推動「AI 使用須知」，提升員工 AI 使用的資訊安全與倫理認知，並要求所有 AI 產出皆需經人工覆核。透過白名單、灰名單與黑名單等 AI 工具管理制度，以及完整的事件通報與審查機制，確保 AI 技術的導入安全、透明並可被信賴。此治理框架不僅提升營運效率，也確保 AI 應用符合企業永續與數位責任的承諾。

(三)、資通安全意識宣導與教育

• 所有新進同仁皆須接受資訊安全認知教育訓練之必修課程，內容包含新型態威脅與攻擊手法新知，資通安全觀念與防護，公司資安政策與規範，釣魚郵件之辨識，緊急應變與通報，獎勵與懲處規定等。
• 每年辦理高階主管之資通安全講座。
• 所有使用資訊系統之人員，每年接受資訊安全宣導課程。
• 負責資訊安全之主管及人員，每年接受資訊安全專業課程訓練。
• 軟體開發職能之人員，必須接受應用系統安全開發SSDLC課程。
• 不定期發送資安電子報，持續宣導公司資安政策、近期國內外資安重要新聞、電子郵件安全、遠距辦公安全、物聯網安全、雲端安全、新興科技相關威脅如人工智慧資安風險等。
• 每年執行數次電子郵件釣魚演練(社交工程演練)，以測驗員工對資安威脅之警覺性，測驗未通過員工除需接受電子郵件安全教育訓練外另需填寫RCCA （Root Cause and Correction Action）報告簽核至各中心主管。
• 為持續提升同仁資安素養與對資安風險的辨識能力，本公司於 2025年舉辦「資安挑戰賽－資安迴戰」資安教育活動。活動採用線上互動式闖關設計，透過四項情境式遊戲，引導同仁認識並應對常見資安威脅，包括網路釣魚、社交工程及密碼安全等議題。透過寓教於樂的方式，本公司有效提升員工對資安風險的認知與防範意識，並強化正確的資安行為。活動結束後整體滿意度達 90%，顯示同仁對此類型資安教育訓練之高度認同，亦作為本公司持續深化資安文化與內部治理之重要措施。

(四)、資通系統盤點及風險評估

每年執行IT與OT之資訊資產清查作業，盤點資通系統，更新資訊資產清冊，以鑑別其資訊資產價值。每年執行風險評鑑作業，鑑別並定期檢視公司之核心業務及應保護之資訊資產其可能遭遇之資安風險，分析其喪失機密性、完整性及可用性之衝擊，並執行對應之資通安全管理面或技術面控制措施等，及鑑別可能造成營運中斷事件之發生機率及影響程度，並明確訂定核心業務之復原時間目標(RTO)及資料復原時間點目標(RPO)，設置完善之備份機制及備援計畫。

(五)、資通安全防護及控制措施

為持續強化資通安全防護及管理機制，除遵循國際標準ISO27001之控管要求，亦參考「資安法」、「上市上櫃公司資通安全管控指引」及NIST CSF(Cybersecurity Framework)等國內外相關法規或標準，每半年以資安防禦矩陣CDM(Cyber Defense Matrix)分析資安防護需求並修訂三年資通安全計畫，持續優化資通安全預算、管控流程與防護措施。

對於系統漏洞之修補與防護，系統與設備於上線前須執行資安組態強化與資安檢測作業，以維持基本的資安防護要求。執行源碼掃描、弱點掃描與委外滲透測試，檢測並驗證各系統的安全狀態。並隨時關注資安威脅情資，對於新揭露之安全漏洞，立即展開調查與擬定修補或改善對策。對於新型態的病毒與惡意程式等威脅，如勒索軟體、挖礦軟體等，亦建置多種資安防護機制(如次世代防火牆、入侵防禦系統、網頁應用防火牆、APT防護、EDR、MDR、MFA等)，配合資安管理程序，及時採取應對措施。透過外部企業資安風險評等服務，從外部持續收集多種網路安全風險分析指標，進而持續監控與改善資安風險。

本公司持續依循零信任架構推動資安治理，並規劃涵蓋身份、裝置、網路、應用與資料五大領域的三年 Roadmap，逐步導入特權帳號管理、企業裝置納管、網路分段、API 安全與資料防護等核心能力。各項計畫依年度成熟度分階段推動，並透過每月工作會議及每季攻擊態勢調整，使防護機制得以持續優化。隨著零信任各構面逐步落實，公司在威脅偵測、權限控管與資料保護上的成熟度持續提升，強化整體營運韌性。此長期架構使公司能在快速變動的資安環境中保持穩健，並確保關鍵業務與客戶資料獲得更周全的保護。

(六)、資通安全事件通報應變及情資評估因應估

遵循集團營運持續管理框架，本公司訂定資安事件應變處置及通報作業程序，包含判定事件影響及損害評估、內外部通報流程、通知其他受影響單位之方式、通報窗口及聯繫方式。 針對與營運直接相關之關鍵應用系統，每年安排備份還原、備援切換與異地還原等災難復原演練，以保持應變能力與營運持續運作。災難復原演練與檢討作業，演練範圍包括重要關鍵應用系統、網路服務、電力與空調供應等，均滿足所設定之復原時間目標(RTO)與復原點目標(RPO)。

(七)、本公司最近年度及截至年報刊印日止，未發生造成營運中斷、資料損毀或資料外洩等重大資通安全事件。