资讯安全管理架构

本公司设立独立且专业之资讯安全管理部门，负责资安规划及推动执行，以建构集团资安防御能力及同仁良好之资讯安全知识。

1. 资讯安全管理原则

以所有资讯作业符合国内外法令的要求为目标，到目前为止从外部伙伴及客户的回应，没有发现有侵害顾客隐私或遗失顾客资料的事情发生。

2. 网路安全

以减少被攻击的机率及提高入侵难度为主要手段：

1. 减少不必要的被攻击的标的：尽量减少放置在Internet的服务，比如FTP或是网站等。企业网站交由专业服务商代管，避免成为吸引企业网路被攻击的标的。
2. 建立从外部防火墙到内部防毒软体、加密线路等的防御机制，提高入侵难度：

1. 不同地点的办公室，采用MPLS VPN作为网路连线的方式，提高不同地点资料交换的安全性。
2. 在台湾、苏州与泰国的办公地点架设防火墙，区隔内部跟外部网路，并以网路行为控制设备(AC)，以帐号权限方式管理使用者的网路行为。
3. 建立内部网路防毒管理，监控网域内电脑防毒软体更新及部属的情况，观察电脑中毒情况并即时采取必要的行动，避免灾情扩大
4. 邮件伺服器中建立Mail SPAM机制，，并依实际情况做调整，建立DNS SPF规则，减少电子邮件网路诈骗发生的机率。

3. 资料安全

以资料备份为基础，加以管理措施减少资料外流的机会：

1. 建立完整备份机制，分别针对File server、DB、重要服务建立备份还原机制以及异地备份。
2. 以权限的方式管理使用者的网路使用，包含E-mail、内部公用资料夹、一般网路浏览，同时监控使用者的网路行为。
3. 针对网路使用者做相关的教育训练，若牵涉到个人资料部份，会进行个资法宣告，并经使用者确认无误后，始得行。

4. 资讯作业规范

对各种作业流程建立内部稽核机制，包含机房人员进出管制、伺服器备份纪录、网路行为纪录及各系统使用帐号权限申请\取消机制等，除年度内部稽核对资通安全项目进行查核，确认设备资安控制及系统复原测试执行是否确实，将查核结果报告董事会外，并引入外部稽核，如会计师年度稽核等，以确认各项机制可有效实施。