1. 資訊安全政策與目標

本公司堅決致力於維護客戶和股東的資料隱私與安全。我們的資訊安全政策明確規定了我們對客戶資料的保護承諾。公司的資訊安全目標包括確保資料機密性、完整性和可用性，以及遵守適用的隱私法規與標準。並且公司設立了資安主管以及資安專責人員(共二人)，負責相關政策督導與執行，截至2023年止，共開會八次。

2. 資訊資產分類與評估

我們積極進行資訊資產分類與評估，以確保對不同類別的資訊採取適當的保護措施。資訊的敏感性級別將影響其處理和儲存方式，並與業務流程緊密相關。

3. 資訊安全架構

我們的資訊安全架構包括網路安全、身份驗證、訪問控制、加密技術、安全監控、威脅檢測等關鍵組成部分。這些技術和措施為我們的資訊資產提供了全面的保護；我們於2022年4月25日取得ISO27001:2013證書，持續每年進行驗證確保證書有效性，也是實踐公司對資訊安全的重視。

4. 風險管理與合規性

我們積極進行風險管理，包括風險評估和風險應對計劃，以減輕潛在的資訊安全風險。我們確保公司遵守個資法等法規，同時積極監測合規性。

5. 員工教育訓練與認知度

本公司致力於員工教育訓練，使其了解資訊安全最佳實踐，每年進行至少二小時以上，2023年度總上課人數90人，受訓率為100%，教育訓練內容包括處理敏感資訊、密碼管理、防範社交工程攻擊等。員工也知道如何報告資訊安全問題。 

6. 安全事件與事件應對

我們的安全事件應對計劃確保我們能夠快速檢測、報告和應對安全事件。我們采取措施以防範未來風險，並確保資料備份與恢復機制的有效性，並且規範了相關資安事件通報機制達到資訊公開透明，確保股東及關係人的權益；截至目前爲止本公司無發生重大資通安全事件。

7. 合作夥伴與供應商管理

與合作夥伴和供應商的關係管理是我們資訊安全策略的一部分，特別是涉及到資料分享與處理。我們定期進行第三方風險評估，確保資料受到保護。

8. 效能衡量與指標

我們使用各種效能衡量與指標來評估我們的資訊安全政策。這包括安全事件率、員工教育訓練參與率、安全漏洞修復時間等等。這些資料有助於我們持續改進我們的安全措施。

9. 資訊安全年度回顧

每年，我們進行一次資訊安全年度回顧，以檢視我們的安全政策與實踐，確保其仍然有效且符合最新標準。這是一個機會，以評估我們的安全架構的有效性。

10. 未來發展與趨勢

我們將繼續密切關注資訊安全領域的未來發展與趨勢，並隨時調整我們的策略以因應新的威脅和挑戰。我們也將積極參與相關的行業合規性倡議。