一、資通安全風險管理架構
本公司資通安全之權責單位為資材部，由資安長統轄，轄下設有資訊安全專責主管及2名資訊安全專責人員，負責資通安全相關工作之規畫、執行及管理，推展資通安全意識。資安長定期向董事會報告，包括資通安全管理架構與資源、資通安全管理方案、存取安全管理、災害應變管理及實體安全管理等。其架構如下：

主要職責：負責ERP相關應用的規劃、導入、維護、開發及推動等工作，應用新技術以 持續提升資訊資產的效益及整合規劃資訊基礎架構與資訊安全維護。

二、資通安全政策
I．資通安全政策之目的
1、確保公司主機、網路設備及網路通訊安全，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險，並建立資通安全管理規範。
2、確保公司資訊之機密性、完整性與可用性。
(A)機密性：確保被授權之人員才可使用資訊。
(B)完整性：確保使用之資訊正確無誤、未遭竄改。
(C)可用性：確保被授權之人員能取得所需資訊。
II．資通安全政策內容
1、公司各項資訊安全管理規定必須遵守政府相關法規（如：資通安全管理法、刑法、國家機密保護法、專利法、商標法、著作權法、個人資料保護法等）之規定。
2、.定期實施資通安全教育訓練，宣導資訊安全政策及相關實施規定。
3、建立主機及網路使用之管理機制，以統籌分配、運用資源。
4、新設備建置前，須將風險、安全因素納入考量，防範危害系統安全之情況發生。
5、建立資訊機房實體及環境安全防護措施，並定期施以相關保養。
6、明確規範網路系統之使用權限，防止未經授權之存取動作。
7、訂定資訊安全管理制度內部稽核計畫，定期檢視公司推行資訊安全管理制度範圍內所有人員及設備使用情形，依稽核報告擬訂及執行矯正預防措施。
8、訂定營運持續管理規定並實際演練，確保公司業務持續運作。
9、公司所有人員負有維持資通安全之責任，且應遵守相關之資通安全管理規範。
10、資訊安全管理制度文件應有明確之管理規範。
11、委外廠商在執行公司委外業務時若有複委託之需求，應評估複委託業務相關之資安風險。並要求委外廠商依資訊安全管理制度(ISMS)等相關規定對複委託廠商進行適當之監督與管理。
12、對內部及外部專案管理的過程中，應明訂及陳述與專案相關之各項資訊安全要求，並由風險評鑑之結果用以決定及實作資訊安全控制措施，確保內部及外部專案資訊之機密性、完整性及可用性，降低機敏資訊(含個人資料)外洩及違反法令之風險。
13、應制定可攜式資訊設備(包含智慧型移動裝置)及可攜式儲存媒體之管理程序，要求同仁落實執行，並定期針對可攜式資訊設備(包含智慧型移動裝置) 及可攜式儲存媒體進行風險評鑑，依據風險評鑑之結果選擇適切之控制措施，定期對同仁執行查核作業，確保使用可攜式資訊設備及儲存媒體之風險受到監控，降低機密資料外洩之風險。
III．投入資通安全管理之資源
1、對外防火牆,及對內防火牆
2、每台電腦安裝防毒軟體
3、資安監控SOC的導入
4、每年的社交工程演練
5、投入資安維護人力:6人
6、為資安所召開會議:每兩個月一次
7、113年9月5日資安長向董事會報告資通安全管理現況，及本年度投入資訊安全之資源如維運監控、PA硬體維護、Fortine防火牆、防毒軟體..等約67萬元。

本公司隨時注意所處行業相關科技改變之情形，並參考行政院資通安全管理法來訂定資通安全政策。公司會定期安排資安相關教育訓練來加強員工的資通安全概念，以及追蹤資安的最新資料來同步更新公司防範機制。強化資通安全除了鞏固公司核心系統的運作外，也增強公司重要資料的機密性。