1. 一.建立安全的資訊系統、網路、軟硬體之作業環境，同時提高員工對資訊安全的意識和遵從性，從而降低組織面臨的風險，以保障公司業務永續運作。
2. 二.法令遵循與制定：建立符合規範機制，定期檢視及修訂相關作業規範以符合資安標準修訂資通安全政策。
3. 三.資訊安全之範圍：
   1. 1.電腦系統安全管理
   2. 2.網路安全管理
   3. 3.系統及文件存取管制
   4. 4.資訊資產安全管理
   5. 5.實體及環境安全管理
   6. 6.資訊安全稽核
   7. 7.人員管理及資訊安全教育訓練

1. 1.2024年加入TWCERT資安組織，取得資安預警情資、資安威脅與弱點資訊。
2. 2.針對電腦機房及重要區域之安全控制、人員進出管控、環境等建立管理措施。
3. 3.基於對智財的尊重，合法合規使用資訊軟硬體設備，公司電腦禁止使用無版權軟體，且禁止攜帶個人電腦裝置至公司使用。
4. 4.電腦資料及設備，不得任意破壞、外借、不正當修改、複製外流，以維護資料安全及完整性。
5. 5.員工離職或部門職務異動時，依規定停用相關帳號權限，定期每月執行清查閒置帳號。

1. 1.資訊系統、網路等相關電腦使用權限申請需簽核至事業處副總核准。
2. 2.電腦設備無法正常作業或疑似偵測到病毒入侵風險時，應立即通知資訊單位檢查維修或協助判斷與病毒是否已清除，避免病毒的擴散。
3. 3.電腦系統若作業結束或長時間不使用時，應立即登出或啟動螢幕保護功能，以免機敏資料外洩，為別人所破壞或不當操作之困擾。
4. 4.電腦設備擺放位置應遠離茶水、咖啡、日曬或潮溼地點，以延長其壽命。

本公司近年來積極強化公司整體之資訊架構，具體進行多項資訊安全強化改善專案，並參考ISO 27001資訊安全國際標準制訂企業資安政策，範圍包含：

1. 1.強化內外網路安全
   1. (1) 採次世代防火牆，鞏固網路邊界，防範外部威脅。
   2. (2) 使用監控系統隨時觀測是否有異常訊息。
   3. (3) 建立網路防禦架構，將產線、用戶端、機房伺服器網路有效區隔，提升資安防護縱深。
   4. (4) 每年進行內網弱點掃描並加以修補。
   5. (5) 遠端連線使用多因子驗證，並限制網域內電腦連線。
   6. (6) 導入堡壘跳板機，將主機連線入口單一化並且錄影存證，降低滲透風險。
2. 2.加強端點安全
   1. (1) 主機定期更新與漏洞修補。
   2. (2) 要求網域內電腦安裝防毒軟體，每天安排防毒掃描。
   3. (3) 主機端點導入MDR端點安全偵測機制。
   4. (4) 每月進行抽查用戶電腦資訊安全檢核。
   5. (5) 要求同仁使用合法軟體，避免對公司造成危害。
   6. (6) 郵件防護阻擋釣魚、病毒、垃圾郵件入侵。
3. 3.資料存取管控及外洩保護
   1. (1) 導入ISO文件管理系統管控。
   2. (2) 外來儲存設備管控。
   3. (3) 使用者權限分級管控。
   4. (4) 離職人員停用權限
4. 4.增強IT基礎架構
   1. (1) 建置完善的資訊機房設施，獨立電纜線串接發電機至機房UPS供電。
   2. (2) 建立資料異地備份機制，並且每年針對重要系統進行災難復原演練。
   3. (3) 伺服器及網路叢集架構建立。
5. 5.提升員工資安意識
   1. (1) 每年定期舉行電子郵件社交工程演練，提高同仁們對惡意郵件的資安意識，並針對未通過受測的同仁，另安排資訊安全教育訓練加強資安觀念。
   2. (2) 定期透過企業入口網站進行資安政策教育宣導。
   3. (3) 資訊人員不定期參與資安事件的研討及教育訓練。