資訊安全管理架構

本公司設立獨立且專業之資訊安全管理部門，負責資安規劃及推動執行，以建構集團資安防禦能力及同仁良好之資訊安全知識。

1. 資訊安全管理原則

以所有資訊作業符合國內外法令的要求為目標，到目前為止從外部夥伴及客戶的回應，沒有發現有侵害顧客隱私或遺失顧客資料的事情發生。

2. 網路安全

以減少被攻擊的機率及提高入侵難度為主要手段：

1. 減少不必要的被攻擊的標的：盡量減少放置在Internet的服務，比如FTP或是網站等。企業網站交由專業服務商代管，避免成為吸引企業網路被攻擊的標的。
2. 建立從外部防火牆到內部防毒軟體、加密線路等的防禦機制，提高入侵難度：

• 不同地點的辦公室，採用MPLS VPN作為網路連線的方式，提高不同地點資料交換的安全性。
• 在台灣、蘇州與泰國的辦公地點架設防火牆，區隔內部跟外部網路，並以網路行為控制設備(AC)，以帳號權限方式管理使用者的網路行為。
• 建立內部網路防毒管理，監控網域內電腦防毒軟體更新及部屬的情況，觀察電腦中毒情況並即時採取必要的行動，避免災情擴大
• 郵件伺服器中建立Mail SPAM機制，，並依實際情況做調整，建立DNS SPF規則，減少電子郵件網路詐騙發生的機率。

3. 資料安全

以資料備份為基礎，加以管理措施減少資料外流的機會：

1. 建立完整備份機制，分別針對File server、DB、重要服務建立備份還原機制以及異地備份。
2. 以權限的方式管理使用者的網路使用，包含E-mail、內部公用資料夾、一般網路瀏覽，同時監控使用者的網路行為。
3. 針對網路使用者做相關的教育訓練，若牽涉到個人資料部份，會進行個資法宣告，並經使用者確認無誤後，始得行。

4. 資訊作業規範

對各種作業流程建立內部稽核機制，包含機房人員進出管制、伺服器備份紀錄、網路行為紀錄及各系統使用帳號權限申請\取消機制等，除年度內部稽核對資通安全項目進行查核，確認設備資安控制及系統復原測試執行是否確實，將查核結果報告董事會外，並引入外部稽核，如會計師年度稽核等，以確認各項機制可有效實施。