為配合公司治理之資訊安全管理，成立跨部門資訊安全小組，由總經理擔任總召集人，並由資訊室主管擔任專責主管，團隊包含資訊安全處理小組，與另設有資訊安全稽核小組，並定期檢討資訊安全政策，每年最少一次向董事會報告。

資訊安全處理小組：執行機房設備、資訊系統存取控制、資訊安全宣導、資訊安全事件通報、網路安全、電子郵件安全及防毒等管理作業。
資訊安全稽核小組：查核評估資訊作業控制之有效性。
  一、資訊安全之目標
       建立安全及可信賴之資訊作業環境，確保資料、系統、設備與網路安全、個資隱私等，保障公司與相關內、外人員之權益。
二、資訊安全之範圍

    1. 人員安全管理及資訊安全教育訓練
    2. 資訊資產安全管理
    3. 系統開發及維護安全管理
    4. 系統存取及控制安全管理
    5. 實體安全管理
    6. 資訊設備及媒體安全管理
    7. 網路通信安全管理
    8. 資訊安全稽核

三、資訊安全的原則及標準
       1. 辦理資安教育訓練課程，包含資訊安全作業程序，資訊安全法令規範及資訊安全管理作業，以充實資訊安全知識，遵守資訊安全規定。
       2. 資訊設備應確實按規定安裝防毒軟體，並更新病毒碼，以防止病毒攻擊及擴散。
       3. 內部人員及外部人員應於任何資訊安全事件發生時，通知相關負責人員。資訊系統使用者，發現可能對資訊系統造成傷害的威脅時，應即時通報反應。
四、員工應遵守之相關規定
       1. 使用者帳號應符合密碼設置原則，妥善保管帳號及維持密碼之機密性，並應定期變更密碼。
       2. 資訊設備僅限於公務使用，禁止使用於私人用途。
       3. 禁止自行安裝使用非法與未經核准之軟體、非業務需用之套裝軟體或應用軟體。
       4. 使用者職務異動或離職時，單位主管應通知資訊單位調整或終止使用者之存取權限。
  

項目	方案
防毒安全	防毒軟體應定期更新病毒碼，定期執行掃描檢查作業。
瀏覽網頁	對外開放的資訊系統所提供之網路服務，如：HTTP、FTP 等，應採取適當之存取控管機制。 應注意Cookie、ActiveX、Java Script 及Active Scripting 等行動碼執行之風險。
電子郵件	關閉預覽及自動下載功能，以避免惡意程式之攻擊。 除非清楚附件的來源及寄送原因，否則不要隨意開啟附件檔案。
防火牆安全	應配合資訊安全政策、相關法令、法規之修訂，以及網路設備之變動即時調整防火牆之設定。
電腦管理	異常狀況時使用者應先行回報權責主管，視需要採適當方式處理。
資料備份	訊系統之設定檔、網頁資料、伺服器檔案及資料庫資料均應訂定備份週期，並依據週期執行備份。

  
資訊安全事件通報作業
內部人員及外部人員應於任何資訊安全事件發生時，或發現可能對資訊系統造成傷害的威脅時，應即時通報權責主管，並記錄處理過程及結果。
  1. 電腦均安裝防毒軟體，並更新至最新病毒碼。
2. 防火牆經弱點掃描，無重大威脅弱點。本年度持續投入設備，計採購防火牆及防毒軟體共2,069,401元。
3. 資訊系統均訂定備份週期，並執行備份成功。
4. 年度資訊系統復原應變計劃執行完成。
5. 年度資訊教育宣導執行完成。
目前資訊安全部門配置二人，本年度發佈一次教育訓練通告，內部定期開會討論最新資訊，本年度開會兩次。
依據資訊安全事件通報作業，內部人員及外部人員應於任何資訊安全事件發生時，或發現可能對資訊系統造成傷害的威脅時，應即時通報權責主管，並記錄處理過程及結果，截至112 年10 月，未有重大資訊安全通報事件發生。
為取得資安預警情資、資安威脅與弱點資訊，已訂閱臺灣電腦網路危機處理暨協調中心(TWCERT/CC)電子報，以因應未來可能的資安風險，並依資安風險議題，視情況增加年度資訊教育宣導次數。