一、信息安全风险管理架构：

1. 公司设有「信息安全指导委员会」负责推动、协调及督导各功能小组信息安全运行，至少每年一次向董事会报告资安治理情况，并取得国际信息安全验证，以降低信息安全风险，保障客户隐私。

    

   

二、信息安全政策：

1. 目的：为了强化资安管理，确保所属之信息资产的机密性、完整性及可用性，以提供本公司之业务持续运作之信息环境，并符合相关政府法规与内外部利害相关者之要求，使其避免遭受内、外部的蓄意或意外之任何威胁，达到信息安全。
2. 目标：
   1. 确保本公司信息作业可正确、完整、可用的持续营运。
   2. 确保本公司重要信息之机密性，落实数据访问控制，信息须经授权人员核可方能存取，不得逾越。
   3. 符合法令与法规要求。

三、具体管理方案：

为提升信息安全管理的强度，公司已于2025年完成重新审查与扩大验证暨转版ISO 27001:2022「信息安全管理系统国际标准」验证，证书效期为2025/08/11~2028/08/10，将相关标准衍生出的信息安全作业模式与准则化成日常信息作业的遵守原则落实执行，使信息安全防护臻于完善，具体管理方案如下：

1. 新进同仁须参与信息安全教育训练以提升信息安全防护之认知观念，公司定期执行信息安全倡导作业。
2. 建立安全、可靠的信息系统环境，使本公司业务得以永续经营。
3. 重要信息系统或设备应建置适当之备援或监控机制并定期演练，维持其可用性。
4. 同仁之个人计算机应安装防病毒软件且定期确认病毒特征之更新，并禁止使用未经授权软件。
5. 同仁个人持有之账号、密码与权限应善尽保管与使用责任并定期换置。
6. 设计适当之信息安全事件的响应及通报程序，以能适当对信息安全事件做立即反应，避免伤害扩大。
7. 公司已每年定期进行信息安全风险评估及信息安全稽核作业，确保管理有效性并符合法令规范，故资安风险非属公司重大营运风险，暂无投保资安险之需求。