資通安全風險管理架構

1.風險評估與監控

為確保公司資通安全，會持續評估公司資訊系統及資料庫的風險，以及監控外部攻擊和內部網絡行為，並建立偵測和防範系統。

2.資訊安全政策

本公司係有制訂資訊安全政策，以管理、保護公司的資訊資源，包括但不限於客戶數據、交易數據等敏感信息，並在公司內部普及。

3.存取控制

本公司嚴格控制資訊系統和資料庫的存取權限，確保僅授權人員可以訪問和使用公司的資源。此外，會定期審核員工的存取權限，以確保系統和資料庫的安全性。

4.安全培訓和測試

本公司會定期舉辦資訊安全培訓，以加強員工對資訊安全的意識和知識，並且會進行漏洞掃描和測試，以確保系統和資料庫的漏洞得到及時修復。

5.事件應對和復原

在發生資訊安全事件時，本公司會立即啟動應急計劃，迅速處理事件，最大限度地減少損失。同時也會制定復原計劃，以盡快恢復系統和資料庫的正常運行。

資訊資通安全政策

本公司係有制定了資訊資通安全政策，以管理、保護公司的資訊資源，包括但不限於客戶數據、交易數據等敏感信息，並在公司內部普及。
1.保護客戶隱私

本公司非常重視客戶隱私保護，在收集、使用和儲存客戶個人信息時，我們會嚴格遵守相關法律法規和內部管理制度，確保客戶數據的安全和保密。

2.保護公司資源

本公司確保公司資源，包括但不限於交易數據、財務信息、人力資源等敏感信息的安全，並持續評估和管理資訊資通安全風險。

3.保障系統可靠性

本公司致力於維護系統運行的可靠性和穩定性，並確保系統的高效運行和及時更新，以滿足客戶的需求。

4.保障公司形象

本公司認為資訊資通安全是公司的核心競爭力之一，將竭盡所能保障公司的形象和聲譽，並為客戶提供最優質的服務體驗。

具體管理方案及投入資通安全管理之資源

1.資訊資通安全管理方案

安全體系建構：建立資訊安全體系，包括安全策略、安全規範、安全標準、安全流程、安全管理、安全應急等方面。
網絡安全：建立網絡安全管理體系，包括網絡設備管理、網絡接入管理、網絡流量控制等措施，保障網絡系統的安全運行。
應用安全：建立應用系統安全管理體系，包括系統開發管理、系統上線管理、系統維護管理等，保障應用系統的安全運行。
安全檢測和評估：每年定期進行內部資訊安全檢測和評估，發現和處理資訊安全問題，保障公司的資訊安全。
安全培訓與教育：定期每年開展資訊安全培訓和教育，提升員工安全意識，強化安全防範能力。

2. 2023年度投入資通安全管理之資源

(1)資訊安全委員：由具有相關背景的行政管理處資深副總擔任資訊安全專責主管，督導資訊安全及網路安全策略，以及設置1名資訊安全專責人員，負責資訊資通安全管理，並提供專業的資安技術支持和建議。
(2)資訊安全委員會定期開會，年度開會時數累計達24小時以上。每年固定提撥資安優化預算，進行資訊資通安全技術改造，更新、升級安全設備和系統，提升資訊安全防護能力。
(3)執行1次資訊災難還原演練。
(4)執行3次電子郵件社交工程，且參與教育訓練人數達100%。
(5)新增建立IST資訊安全端點系統，投入相關的軟資源，實現對資訊安全的全面監控、分析和管理。
(6)執行1次內部資訊安全檢測和評估並諮詢第三方建議。