為明確資訊安全崗位職責，規範作業流程，完善公司資訊資產評鑑，確保公司網路及資訊系統安全，本公司於2024年9月成立資訊安全小組，以確保本公司資訊安全政策可以順利執行，並每年一次向董事會報告資訊安全執行情況。

一、資訊安全風險管理架構

本公司資訊安全採用PDCA循環管理架構，即Plan(計畫)、Do(執行)、Check(檢查) 、Act(處理)，確保資訊安全之目標達成且持續改善。資訊安全小組下設系統支撐組和安全處置組，設置專職資訊安全人員及代理人。

二、資訊安全政策

本公司制定資訊安全管理規範，以規範本公司人員資訊安全行為。每年定期評估檢討當前制度是否符合營運環境，並依需求適時調整。每年定期執行內部稽核以及會計師外部稽核，以強化本公司資訊安全之作業管理。

三、具體管理方案

1、限制辦公電腦與訪客電腦接入網路，規範資料存取。

2、推進網路安全管理，實行網路準入制度。

3、機房進入管制，杜絕外來風險。

4、建立網路安全事件應急回應機制。

5、組織全員積極參與網路安全宣傳活動，共同營造安全的網路環境。

6、落實資訊資產盤點與風險評估。

7、建立災難復原演練制度，每年進行災難復原演練。

8、每年編制資訊安全專項預算，結合當前網路安全環境進行有序實施。

四、投入資訊安全管理之資源

1、設置專職資訊安全人員2人，以及代理人2人。

2、2024年度進行資安內部稽核1次、外部稽核2次。

3、2024年度進行1次災難復原演練。

4、2024年度資訊安全資金投入人民幣28萬元。

5、2024年度資訊安全風險管理執行情形於2025年3月11日提報董事會。