• 本公司資訊安全之權責單位為資安管理室，配置專責人員擔任資安主管與資安人員，負責規劃、執行及推動資訊安全管理事項，並執行資訊安全政策、宣導資訊安全訊息，提升員工資安意識。
• 本公司稽核室為資訊安全監理之查核單位，若查核發現缺失，即要求受查單位提出相關改善計畫並呈報董事會，且定期追蹤改善成效，降低內部資安風險。

為貫徹本公司各項資訊管理制度能有效運作執行，維護重要資訊系統的機密性、完整性、可用性 ，以確保資訊系統、設備網路之安全維運，達到永續經營目的。

• 電腦設備安全管理
• 本公司應用伺服器與骨幹網路設備等均置於專用機房，機房門禁採用密碼鎖進出，並保留進出記錄存查。
• 機房內部備有獨立空調與自動偵測防煙設備、機房專用之噴氣式滅火設備；並配置不斷電系統與穩壓設備，防止意外斷電造成之系統毀損。以保障公司資訊系統軟硬體資產之實體安全。
• 伺服器與終端電腦設備安裝有統一管理之防毒軟體，病毒碼自動更新機制，確保所有資訊電腦設備具備相同防毒等級。
  
• 網路安全管理
• 於網際網路連線的閘道口，配置企業級防火牆，阻擋外部攻擊與連線管制、過濾惡意網站、釣魚網站等之非法連線，強化網路安全控管與防護。
• 若同仁需要遠端登入公司內部系統存取資料，必須先申請 SSLVPN 帳號，並透過 SSLVPN 提供的安全方式進行登入。這種方式不僅保障了登入過程中的資訊安全，也能夠留下相應的使用紀錄，方便未來的稽核或調查。
• 配置有郵件防毒與垃圾郵件過濾機制，防堵病毒與垃圾郵件進入使用者終端電腦設備。
  
• 存取控制
  
• 當同仁到職時，以資訊需求申請單申請公司相關系統帳號及權限。當同仁離職 ( 或退休 ) 時，則需要持離職申請單親自前往資訊室進行各系統帳號的刪除程序，並進行簽名確認。透過這樣的作業流程，可以有效地控制帳號的使用權限，防止未經授權的人員存取系統，從而提高整體資訊安全性。
• 若同仁需要存取與業務相關的後台管理系統，則需以資訊需求申請單先提出申請，並經主管同意後，由資訊室的同仁進行系統設置。透過這樣的申請程序，能夠確保系統的存取權限得到嚴格控管，同時也能夠有效地防範潛在的安全風險。
• 設定作業系統密碼複雜度與長度要求限制、螢幕保護鎖定、登入錯誤鎖定等原則。
  
• 檔案伺服器根據各單位的需求，為不同的人員和群組設置不同的檔案資料夾權限，以保障資訊的安全性。同時，使用群組原則管理工具，能夠集中管理檔案伺服器的各項稽核設定，進一步提高系統的可靠性和管理效率。
  
• 營運持續
  
• 系統與資料備份採取排程定期備份機制，備份資料儲存於本地網路硬碟並採取異地備份策略，以確保備份資料的安全。
• 每年實施一次抽測災害復原演練，選定還原日期基準點後，由備份媒體回存於系統主機，確認回復資料的可用性與完整性。

• 人力：

目前資安管理室二人協同負責相關資通安全，並定期接受資訊安全專業課程訓練。 作為：定期檢討資安會議與災害還原演練，資訊相關設備系統與專業廠商簽訂維護合約，確保系統穩定運作，並定期宣 導資安與軟體授權，提升同仁資安觀念；訂閱「台灣電腦網路危機處理暨協調中心TECERT/CC」，取得資安事件來源管 理，以及收集資安情資，提供內部宣導。

• 預算：

除現有資安相關維修運行費用外，各資訊作業開發及營運系統建置均編列必要防護、監控、檢測等資安費用。