A.  目的：各單位應確保執行業務時，資訊之機密性、完整性、可用性及法律遵循性。

• 機密性：確保經授權之人員始得使用資訊。
• 完整性：確保資訊之準確性及可靠性。
• 可用性：確保被授權之人員能取得所需資訊。
• 法律遵循性：確實遵循資通系統設置或運作之相關法令規範。

   B.  目標：

• 每年應完成資訊安全檢查辦法之要點，並降低相關風險之威脅。
• 提升資安防護意識、強化偵測能力與防禦內外部攻擊等。
• 確保委外辦理資通系統建置、維運或服務之各項措施與設定均符合目的要求。

   C.  責任：

• 各事業單位所屬人員，包含接觸或使用資訊系統服務之相關作業，應充分了解資通安全政策之目的與目標，並遵守資通安全管理相關規定。

  1. 檢視各項網路設備，關閉預設開啟或未使用之通訊埠，減少漏洞造成破口。

  2. 遠端管理設備設定來源位址連線規則，或改變預設連接埠。

  3. 各節點防火牆規則應明確定義來源與目的以及服務類別。

  4. 佈署端點防護與控制中心，確認更新定義與事件紀錄。

  5. 建置郵件外部過濾機制，搭配端點防護掃描，降低郵件感染風險。

  6. 資料庫防加密備份與備援建置。

  7. 重要資料集中管理與權限設定，並進行備份保存

資訊安全管理作業之實施應依照規劃、執行、查核、以及持續改善等循環模式，確保資訊安全之持續性，並考量法規法令與技術演化、現有環境資源， 來進行適度且符合安全性之增修和審查，來確保資訊安全之有效性。

• 112年10月增設資安專責主管與資安專責人員，規劃提昇資訊安全相關具體執行方案，並於113年3月加入台灣電腦網路危機處理暨協調中心(CERT_CSIRT)聯盟會員，可進行資安情資交換與預防可能的威脅，加強資安防護能量。
• 計畫佈署MDR/EDR相關產品來強化端點防護以及資料保護。
• 不定期以時事案例做為資通安全宣導，並於本年度辦理2次教育訓練，共計240人，5.5小時，以強化員工對資通安全之警覺性。
• 針對新型態攻擊事件，負責資安相關人員對於新型態攻擊手法，以及報導事件與文件，均進行會議討論，並適時調整防禦措施。