资讯安全风险管理目的：
强化资讯安全管理、确保资讯的机密性、完整性与可用性、资讯设备(包括电脑硬体、软体、周边)与网路系统之可靠性以及同仁对资讯安全之认知，并确保上述资源免受任何因素之干扰、破坏、入侵、或任何不利之行为与企图。

资讯安全风险管理组织：
「资讯安全推动小组」统筹资讯安全管理等事项之协调、规划、稽核及推动，成立跨单位之资讯安全推动组织。若组织有重大变更时（如组织调整、业务重大异动等）重新评估本政策之适用性。本政策将依照评估结果、相关法令、技术及业务等最新发展现况予以适当修订，以确保符合实际需求。

资讯安全推动小组：
组织成员包括各单位最高主管，由总经理担任本组织的召集人，如因职务调动应即刻指派递补人员并办理交接。

资讯安全执行职责划分：
由资讯部最高主管指派资讯部人员担任资讯安全应变小组，负责资讯安全须知、计画及技术规范之研议、建置及评估等事项以及执行各项资讯安全作业，包含资讯安全预防及事件处理。并由稽核室负责资讯机密维护及安全稽核等事项。

资讯安全防护及控制措施:
参考依据美国国家标准技术协会(NIST)的网路安全框架（Cybersecurity Framework，CSF），采取「辨识」、「防御」、「侦测」、「应变」、「复原」、「训练」等步骤来为企业资安做把关。

第一步：辨识：掌握组织环境及关键资源与服务，进行风险评估与符合日常营运的风险管理策略。
第二步：防御：规划并实作防御措施，确保关键资源与服务不受资安事件影响。
第三步：侦测：建置即时侦测网路资安事件与告警的机制，并定期更新系统、防毒软体病毒码。
第四步：应变：顺畅的内外沟通管道来处理资安事件应变，包括调查、鉴识与提出改善方案。
第五步：复原：制定资料备援计划，能在最短的时间内恢复正常运作。
第六步：训练：「资讯安全，人人有责」，持续强化员工的资讯安全意识。

资讯安全实施计划：

一、人员管理及资讯安全教育训练： 1.对资讯相关职务及工作，应进行安全评估，并于人员进用、工作及任务指派时，审慎评估人员之适任性，并进行必要的考核。 2.针对管理、业务及资讯等不同工作类别之需求，进行资讯安全宣导，建立员工资讯安全认知，提升资讯安全水准。 二、电脑系统安全管理： 1.办理资讯业务委外作业，应于事前研提资讯安全需求，明订厂商之资讯安全责任及保密规定，并列入契约，要求厂商遵守。 2.依相关法规或契约规定复制及使用软体，并建立软体使用管理制度。 3.采行必要的事前预防及保护措施，侦测及防制电脑病毒及其他恶意软体，确保系统正常运作。 三、网路安全管理： 1.开放外界连线作业之资讯系统，应视资料及系统之重要性及价值，采用资料加密、身分鉴别、电子签章、防火墙及安全漏洞侦测等不同安全等级之技术或措施，防止资料及系统被侵入、破坏、窜改、删除及未经授权之存取。 2.与外界网路连接之网点，应以防火墙及其他必要安全设施，控管外界与内部网路之资料传输与资源存取，防火墙之设定及工作日志档需定期检核，并经适当主管核阅。 3.利用网际网路及全球资讯网公布及流通资讯，应实施资料安全等级评估，机密性、敏感性及未经当事人同意之个人隐私资料及文件，不得上网公布。 4.定期更新侦测病毒软体之版本，定时自动侦测病毒，并训练所有人员使用侦测病毒软体，防止外之病毒。 5.订定电子邮件使用规定，机密性资料及文件不得以电子邮件或其他电子方式传送。 6.关闭不必要之网路服务。任何网路服务皆需提出申请，经权责主管核准后，由资讯部人员开通之。 四、系统存取控制： 1.订定系统存取政策及授权规定，并以书面、电子或其他方式告知员工及使用者之相关权限及责任。 2.离(休)职人员，应立即取消各项资讯资源之所有权限，并列入离(休)职之必要手续。人员职务调整及调动，应依系统存取授权规定，限期调整其权限。 3.建立系统使用者注册管理制度，加强使用者通行密码管理，使用者通行密码之更新周期，最长以不超过三个月为原则。 4.对系统服务厂商以远端登入方式进行系统维修者，应加强安全控管，并建立人员名册，课其相关安全保密责任。 5.建立资讯安全稽核制度，定期或不定期进行资讯安全稽核作业。 五、系统发展及维护安全管理： 1.自行开发或委外发展系统，应在系统生命周期之初始阶段，即将资讯安全需求纳入考量；系统之维护、更新、上线执行及版本异动作业，应予安全管制，避免不当软体、暗门及电脑病毒等危害系统安全。 2.对厂商之软硬体系统建置及维护人员，应规范及限制其可接触之系统与资料范围，并严禁核发长期性之系统辨识码及通行密码。如基于实际作业需要，得核发短期性及临时性之系统辨识及通行密码供厂商使用，但使用完毕后应立即取消其使用权限。 3.委托厂商建置及维护重要之软硬体设施，应在本公司相关人员监督及陪同下始得为之。 六、资讯资产安全管理： 1.建立与资讯系统有关的资讯资产目录，订定资讯资产的项目、拥有者及安全等级分类等。 2.依据公司机密保护、电脑处理个人资料保护及公司资讯公开等相关法规，建立资讯安全相对应的保护措施。 3.已列入安全等级分类的资讯及系统之输出资料，应标示适当的安全等级以利使用者遵循。 七、实体及环境安全管理： 就设备安置、周边环境及人员进出管制等，订定实体及环境安全管理措施。 八、业务永续运作计画之规划与管理： 1.订定业务永续运作计画，评估各种人为及天然灾害对业务运作之影响，订定紧急应变及回复作业程序及相关人员之权责，并定期演练及调整更新计画。 2.建立资讯安全事件紧急处理机制，在发生资讯安全事件时，应依规定之处理程序，立即向资讯单位或人员通报，采取反应措施，并联系检警调单位协助侦查。 3.依相关法规，订定及区分资料安全等级，并依不同安全等级，采取适当及充足之资讯安全措施。

2021年已实施之资讯安全重大管理方案：

项目	具体管理方案
防火墙防护控管	防火墙设定连线规则，预设只开放基本上网、邮件收发等连线。 如有特殊连线需求需经请权限经部门主管与资讯部最高主管核准始能开放。 随时监控防火墙网路连线状况。
资讯机房安全控管	机房进出有门锁，进出需要有钥匙，非经允许不得进入。 机房有UPS不断电系统，不正常停电时电源不会中断，待大楼发电机启动仍可正常使用，资讯人员有时间可以做后续处置。 机房检查纪录表纪录机房温湿度、伺服器、网路设备状况。
防毒软体控管	公司有安装企业端点防毒软体伺服器集中监控管理。 使用者的电脑都要安装企业端点防毒软体并定时更新防毒软体病毒码，降低中毒风险。
邮件安全控管	邮件伺服器有主动邮件扫描威胁防护，在使用者接收邮件之前，事先防范不安全的附件档案、钓鱼邮件、垃圾邮件，及恶意连结内容的邮件。 个人电脑接收邮件后，防毒软体也会扫描是否包含不安全的附件档案。 邮件伺服器会保留所有邮件进出的备份资料。
资料备份机制控管	资讯系统程式与资料库皆设定每日完整备份，然后再备份一份到NAS备份主机。 公司内各部门档案存放在档案伺服器，并由资讯部统一备份到NAS备份主机保存。 每周将备份资料放到行动硬碟交管理部人员做异地备援存放。 重要相关文件由文件管理系统控管版本与权限，并在不同厂做主机与资料异地备援。