(2)本公司資訊安全組織架構設罝如下：

>

 管理代表：由公司最高營運主管擔任召集人
 資 安 長：由公司資訊單位最高主管兼任
 稽核小組：負責查核資安作業執行狀況
 制度改善小組：負責資訊安全制度檢視、改善
 事件處理小組：負責資安事件處理、回報

(二)資通安全政策

1.企業資訊安全管理策略與架構

資訊安全管理策略架構如下：

 

 

2.企業資訊安全風險管理與持續改善架構

(1)資安管理政策結合PDCA方法力求逐步精進，以保護人員、資料、資訊系統、設備及網路之安全等機密性、完整性、可用性、遵循性。

(2)高階主管積極參與資安管理活動，提供支持及承諾。

(3)定期召開資安管理會議，反應政令法規、外內部風險、科技技術及業務需求等最新發展，以達到利害關係人期待。

(4)以風險控管出發，評估並降低風險，以確保資訊資產之機密性、完整性、可用性、適當性。

(5)依照個人資料保護法、資通安全管理法等相關規定，審慎處理、保護個人資訊及其相關系統安全。

(6)落實資訊安全稽核，確保本公司各項業務恪遵相關政策，使資安管理制度持續正常運作。

(7)每年對內部同仁實施資訊安全相關的教育訓練課程。

3.具體管理方案

資訊安全管理範疇涵蓋以下領域，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本公司造成各種可能之風險及危害，管理事項如下：

(1)資訊安全政策訂定與評估。

(2)資訊安全組織建立及運作。 

(3)資訊資產分類分級與管制。 

(4)資訊安全風險管理。 

(5)人員安全管理與教育訓練。 

(6)實體與環境安全。 

(7)通訊與作業安全管理。 

(8)存取控制安全。

4.投入資通安全管理之資源

(1)委請外部專業資安廠商協助進行資訊安全復原計畫演練，依據實際演練結果產出作業報告。 

(2)依據報告中的缺失再調整災害復原計畫作業程序，藉以改善災害復原計劃內容，以降低公司營運時的風險。

 

(三)資通安全風險與因應措施

1.資訊技術安全之風險及管理措施 為確保及維護整體資訊安全，建立安全及可信的資訊化環境，本公司將訂定資訊安全政策，以作為本公司在營運發展及資訊安全的基礎架構。

2.本公司推動資訊安全範圍如下：

 (1)資訊安全組織建立及運作。 

 (2)加強內部員工及外部人員資訊安全教育訓練。

 (3)定期執資訊系統備份與災害復原作業演練，以確保關鍵業務作業能及時恢復運作。

 (4)控管人員及資訊存取，避免未經授權人員存取系統、資料、資訊設備及網路。

 (5)建立資訊安全事件通報程序，以確保資訊安全事件有效的管理。

 (6)定期進行資訊安全稽核，以避免違反法律、法規、合約義務與安全需求。

(四)重大資通安全事件：無