一、資通安全組織、政策及管理機制

本公司設立資安專責單位「資訊安全技術部」，並設置資安專責主管及資安專責人員，定期舉行資安風險會議。主要透過『資安評估』、『資安管理』、『資安防護』及『資安訓練』四大構面，結合美國國家標準技術研究院推出的資安框架(NIST CSF)檢視資訊架構，搭配Cyber Defense Matrix可視化進行覆核，並予以進行資通安全風險控管，且為確保所面臨之風險得以控管，已訂定風險管理程序之管理辦法，以明訂風險管理執行方式，確保公司、顧問、供應商資訊的安全，檢視營運過程中可能產生對組織資安目標的各項風險及其影響，並持續強化資訊安全作業。

除上述說明外，本公司定期進行員工資訊安全訓練，如：資安攻擊事件探討、社交工程手法介紹、內部規範宣導、資安風險意識提升等相關訓練，用以提升員工對於資訊安全的認知並遵守資訊安全相關規定，以完善整體資訊安全的防護鏈。定期針對資訊系統執行資訊安全相關偵防作業，並針對資安事故制定相關通報流程與管理辦法，且定期宣導員工資訊安全知識與恪遵資訊安全規範之重要性。另定期舉行資安管理審查會議，檢討資安防護現況並指定專責人員進行資安文件管理與頒定。

本公司資訊安全政策為「維護公司資訊之機密性、完整性、可用性與適法性，避免發生人為疏失、蓄意破壞與自然災害時，遭致資訊與資產遭致不當利用、洩漏、竄改、毀損、消失等，影響本公司作業，並導致公司權益受害」。為建立資安聯防體系以強化資安防護能量，本公司已加入台灣CERT/CSIRT聯盟會員，提升資訊安全事件之應變能力，保護公司與客戶之資產安全。

二、資安風險與因應措施

為加強保障本公司之會員、消費者與相關配合單位之資訊安全防護，特與外部專業資安團隊合作(經行政院國家資通安全會報技術服務中心評鑑為特優之廠商)，定期舉行資安檢測與演練，以確保其相關權益不受威脅，維護本公司商譽與企業形象。

因應駭客攻擊手法日趨複雜，本公司採行資安縱深防禦措施與策略，透過網站應用程式防火牆、入侵偵測防禦系統、惡意郵件偵測阻擋、網頁過濾防護、防毒軟體、端點偵測及回應系統，強化各資訊環境網路、主機及端點防護能力。透過委外SOC監控擴大防護能量，7x24小時防禦性監看核心系統的主機、網路設備與資安設備相關日誌，並落實資安通報應變機制。透過外部資安情資平台與各項資安服務，掌握國內外資安最新趨勢，持續優化降低資安攻擊，才能確保無高風險資安事件發生。