本公司於 111/09/01 起成立資訊安全室，設有資訊安全主管及資訊安全專責人員各一名。為了有效推動公司資訊安全管理系統（ISMS）的導入與運行，於 113/12/18 成立資訊安全管理委員會，由總經理擔任召集人，並指派副召集人及執行祕書，負責資訊安全管理委員會各項協調工作。資訊安全管理代表由各事業單位及功能單位的管理階層擔任，負責協助推動和監督各單位的資訊安全工作。設置資訊安全工作組，依職責區隔分為：（一）資訊安全處理小組、（二）資產盤點暨風險評鑑小組、（三）文件管制小組、（四）查核（內稽）小組。有關推動公司資訊安全管理系統（ISMS）的導入與運行，已於 114 年 2 月正式公告制度實施，且已由 BSI 台灣分公司查證團隊於 114 年 4 月間完成二階段驗證，俟 BSI 台灣及總部作最後確認後，將核發 ISO 27001:2022 證書。

資訊與網路安全風險管理架構

資訊安全管理委員會職責：

1. 審核資訊安全管理系統目標及實施範圍。
2. 審核資訊安全管理相關作業執行情形及改善的有效性。
3. 檢討資訊安全相關政策及規定，協調資源之分配及使用。
4. 監督營運持續演練之辦理。
5. 審核實施矯正措施所需之資源，包括人力、時間及經費。
6. 審核矯正措施之有效性。
7. 每年至少召開管理審查會議 1 次，必要時得召開臨時會議。

資訊安全政策

基於本公司的業務特性，為本公司及其各利害關係人（包括但不限於員工、客戶、原廠/上游供應商、股東、投資人與金融/證券機構、非原廠之供應商及政府/主管機關與社會）之權益，本公司及全體同仁有責任和義務，共同建立及維護一個安全的資訊與通訊作業環境，讓資訊安全成為企業文化的一環，特訂定資訊安全政策以明確定義安全目標與安全要求，以資遵循。詳細內容請參閱本公司官網公佈之『資訊安全政策』（114.1.13 董事會增訂通過）。

資訊安全管理目標與內容

1. 本公司各事業部執行業務時必須遵守政府相關法規（如：專利法、著作權法、個人資料保護法、個人資料保護法施行細則等）之規定。
2. 設置資訊安全管理委員會，負責本公司資訊安全管理系統之建立及推動事宜。
3. 建立組織全景評鑑機制，以界定資訊安全的方針與資訊安全管理系統的實施範圍，並了解組織全景及關注方的需要與期望。
4. 訂定文件控管作業規定，以律定資訊安全制度相關文件之制定、修改、編碼、發行等管理原則。
5. 建立資訊資產之管理機制，以統籌分配、有效運用有限資源，解決關鍵安全問題。
6. 建立風險評鑑管理辦法並識別出各類資產的風險，以採取適當之風險處理措施，加以管控、降低風險至可接受之程度。
7. 定期實施業務相關之資訊安全教育訓練，宣導資訊安全政策及相關實施規定。
8. 建立機房實體及環境安全防護措施，並定期施以相關保養維護。
9. 明確規範資訊系統、網路服務、敏感資訊之使用權限，防止未經授權之存取行為。
10. 建立資訊系統獲取、開發及維護作業流程，明確規範系統於開發及委外相關遵循之依據，且資訊系統或服務應於建置或推出前，應將資訊安全相關議題納入，以防範危害系統安全之情況發生。
11. 訂定及執行資訊安全內部稽核活動，以落實資訊安全管理制度，針對未盡事項執行矯正措施。
12. 訂定資訊安全之營運持續計畫並實際演練，確保本公司遭受突發事故時業務得以持續運作。
13. 本公司所有人員皆負有維持資訊安全之責任，且應瞭解及遵守相關之資訊安全管理規定，並於工作職責中落實。

113 年度資訊安全主管與專責人員教育訓練

註：本公司每年皆對全體員工實施「資訊安全教育訓練」每年 1 小時，資訊人員每年 3 小時。

• 113/09/12 個資法教育訓練（3 小時/ 439 名參與課程）。
• 113 年資訊安全管理系統（ISMS）導入會議共 16 場次。

資訊與網路安全事件通報程序

112 年及 113 年度，本公司並無因發生重大資通安全事件所遭受之損失或影響營運、商譽等之情事。