(一)  資通安全風險管理架構：

為提升公司資安防禦能力，配置資訊安全專責主管及專責人員各1名，並於2023.11.9經董事會決議同意通過。

(二)  資通安全政策、具體管理方案及投入資通安全管理之資源：

資訊安全2023年列為本公司的重大主題方針，我們特別重視資訊安全管理及資安風險管控，因應管理方針制定下列項目：

1.資訊安全政策
「維護公司整體資訊安全，強化各項資訊資產之安全管理，確保其具機密性、完整性、可用性與適法性，避免發生人為疏忽、蓄意攻擊及天然災害時影響公司作業或損及公司權益，確保業務持續營運」。

2.資訊安全策略

1. 善用數位科技，持續創新，秉持永續經營理念，不斷精進資訊安全制度與強化防禦應變能力，全面導入資訊安全管理機制，定期檢視，快速應變資安風險，確保業務持續營運不中斷。
2. 重視資訊相關系統、設備與網路之安全，定期執行資訊安全演練與教育訓練，提升同仁對於資安的意識及警覺性，將資訊安全融入日常業務中。
3. 善盡顧客資料隱私保護承諾，明確規範蒐集、處理及取用等管理措施及權限，保障顧客個人資料安全。

3.資訊安全組織
為落實資訊安全管理，公司成立資訊安全組織，成員包含公司高階主管，負責推動、協調及督導下列資訊安全管理事項：

1. 資訊安全政策之核定及督導
2. 資訊安全責任之分配及協調
3. 資訊資產保護事項之監督
4. 資訊安全事件之檢討及監督
5. 資訊安全事項之核定
6. 定期召開資訊安全會議

2023年依金管會要求，設置1名資安專責主管及1名資安專員。

4.資訊安全管理與執行
本公司針對資安風險管控，從系統面、網路面、資料面及設備面，積極規劃部署資訊安全措施，改善資訊安全環境，降低資訊風險。包含以下項目:

1. 系統帳號管理與稽核
   • 2023年我們加強系統密碼規則，增加密碼複雜度及長度10碼以上
2. 系統資料存取權限管控與稽核機制
3. 系統原始碼管理與檢測
   • 資訊系統之相關原始碼，應依機密等級給予適當安全屬性，不同安全屬性之文件應分開，並以相對應的安全措施加以保存。委外或自建的系統程式碼均通過程式原碼檢測驗證，符合國際認證標準。
   • 於2023年對內外部系統進行資安原始碼掃描，已將問題修正完畢。 
4. 網路安全
   • 建置網路安全防護設備(防火牆)，郵件過濾系統，防毒防護系統，並依業務所需設定安全存取權限。2023年新增下列安全措施：
     • 建置系統主機弱點掃描平台。
     • 增設防火牆連線網址過濾功能(URL Filtering)，加強網頁連線時的安全自動判斷及過濾，提高網路使用安全。
     • 建置VPN雙因子認證機制，降低VPN連線時的風險。
5. 備份與災害復原
   • 為確保集團資訊系統之資料完整與正確，訂定備份與災害復原計畫，定期演練確保發生災害或儲存媒體失效時，可迅速回復正常作業。
   • 於2023年實施1次災害備援演練，RTO為1小時，RPO為24小時，順利完成，並留文件備查。
6. 電子郵件管理
   • 使用公司郵件需遵循電子郵件管理辦法，對帳號、使用規則及郵件使用安全進行管理。

5.員工資安訓練宣導

本公司對新員入職時會進行基礎的資訊安全教育訓練，並且會定期對進行資安宣導及資安演練，加強資安意識。當發生資安事件時，進行資安通報，提高員工防範外部攻擊的意識，為公司經營提供資訊安全保障。
2023進行項目如下:

1. 4次資安宣導。
2. 進行社交工程演練，合格率 97.8%。
3. 進行年度資安教育訓練，完成課程385人，總訓練時數225小時。
4. 增設新員資安教育訓練課程。

(三)最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施：