資訊安全政策

資訊安全管理架構

本公司資訊安全之權責單位為資訊安全部，該部門設有資訊安全主管及多位專業資訊安全人員，負責訂定內部資訊安全政策、規劃暨執行資訊安全作業。
本公司已於2021年3月2日，成立「資訊安全管理委員會」，審視公司資訊安全政策與監督資訊安全運作情形。目前由資安委員會主席成立跨部門小組，加強對於資訊安全工作的橫向溝通，以利資訊安全政策的推動與落實，並定期向董事會報告資訊安全執行成果。

「資訊安全管理委員會」組織圖

「資訊安全管理委員會」組織運作模式

採PDCA（Plan-Do-Check-Act）循環式管理，確保目標之達成及持續改善。

資訊安全政策項目與安全具體管理方案

資訊安全政策：

確保營運及服務提供流程中之資訊機密性、完整性及可用性，並符合相關法規之要求，以降低本公司面臨之內外部資訊安全風險。

資訊安全目標 Information Security Objectives：

為強化本公司資訊安全管理，以期整體資訊業務順利進行：

資訊安全管理措施：

本公司實施之資訊安全管理措施，包含如下，其類別 / 風險說明 / 控制措施詳如下列：

權限管理	人員帳號與權限授權管理人員帳號權限管理與審核人員帳號權限定期覆核人員密碼定期更換
存取管控	人員存取內/外部資源、及資料傳輸控制內/外部網路連線與存取管控機制電腦軟體安裝權限管制
外部威脅	病毒入侵防護主機及電腦弱點偵測/定期掃描/病毒碼定期更新防火牆入侵偵測/病毒/惡意程式防護連外網頁安全過濾
系統可用性	系統與服務中斷預防資料本地/異地備份措施，本地/異地機房備援每年定期災害復原演練
郵件安全管理	郵件防護郵件存取管控結合MFA多重身份認證郵件病毒防護及惡意程式偵測郵件惡意連結保護，避免網路釣魚防垃圾郵件過濾
本公司鑒於資安險為新興保險種類，考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格、適用行業等議題綜效，目前先將資源投入在提高資安成熟度；降低資安風險。但為強化應對日新月異的資訊攻擊事件，除了透過定期檢查防火牆安全政策、防毒軟體之病毒碼定期更新、與定期備份資料於異地外，對於災害復原演練訂於每年施作，以確保備份機制之正常運作，並能符合系統復原目標。

資訊安全執行情形

2025年度資訊安全風險管理執行情形如下 :

管理制度與合規性強化 :
通過ISO27001認證，建立系統化的資訊安全管理體系，透過風險管理、資料保護及持續改進等措施，有效降低資安風險，提升合規性和信任度，保護公司重要資訊資產防止外洩，持續強化資安成熟度。
存取控制與端點防護升級 :
1. 限制個人裝置存取公司內部網路，防止個人設備直接接觸公司內部的敏感數據，從而減少數據洩露的風險。
2. 導入內網防火牆，提升伺服器的防禦能力，阻擋未經授權的訪問與潛在威脅。
3. 強化外部遠端連線管理，全程記錄與監控，確保連線安全及合規要求。
4. 導入多項資安技術，防止機敏資料外洩、持續強化端點防護，避免遭受入侵或勒索加密風險。
資訊安全意識提升 :
1. 資安訓練：
  - 完成新進同仁資訊安全教育訓練。
  - 全體同仁教育訓練並於課後進行課後測驗。
2. 社交工程演練：
  定期實施社交工程演練，透過社交工程演練，幫助同仁建立資安意識，並針對上鉤的位同仁進行教育訓練及測驗。
持續監控與軌跡保存強化:
導入多向資安技術，持續強化監控與軌跡保存。
資訊安全風險鑑別 :
1. 漏洞修補：持續進行主機定期弱點掃描，並排定修補計畫。
2. 持續採用知名網域檢測平台定期對公司網域進行多維度的安全性檢測，持續追蹤並改善關鍵風險。