一、政策與承諾

為保障客戶隱私與資訊安全，中工訂有多項內部管理制度與作業要點，確保資訊處理過程之合規性與風險控管。相關規章制度包括：

·《電腦相關業務及資訊安全管理要點》，針對設備與網路連線使用、系統開發與程式設計、資訊檔案與作業處理、資訊安全查核等面向進行規範。

·《財務及非財務資訊之管理作業要點》等內控制度，訂有個人資料保護之管理規範，強化資料處理過程之隱私保護。

公司亦設有審計委員會，依據《證券交易法》第十四條之一，負責審查與修訂內部控制制度，並定期評估其有效性，確保資訊安全與個資保護政策得以有效落實。

中工承諾持續依據法規與實務趨勢，強化資訊安全管理與客戶隱私保護機制，降低潛在風險並提升利害關係人信任。

二、管理評核機制

中工資訊安全管理政策參考 ISO 27001 架構，強調人員、流程、系統及內控四大層面之風險控管。透過教育訓練、異常監控、權限設定及稽核機制，強化資安意識與作業彈性，確保公司資料、客戶隱私與營業機密均獲妥善保護。

三、組織架構及單位

中工於2022 年底成立資安室，負責執行資訊作業安全管理規劃，建置與維護資訊安全管理體系，統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。同時也成立推動小組，由總經理兼任資訊安全長，影音即時指揮中心主管擔任督導暨資訊安全官，並編制兩名專責資安管理師，公司內各單位(包含法務、稽核、資訊、工程等)主管均為小組成員，專責公司資訊安全之推動與相關的稽核事項。

四、指標與目標

短期(2026 - 2027)

1. 2026年度至少一人次取得資安專業證照(ISO 27001主導稽核員)。

2. 年度資安事件發生數量0件。

3. 年度資安宣導場次：至少4次。

4. 通過ISO 27001評鑑並取得證書。

5. SecurityScorecard資安評分改善達到A級。

中期(2030)

1. 維持公司內部資安專責人員皆取得至少一張以上數位發展部認可之專業證照。

2. 年度資安事件發生數量 0 件。

3. 每年年度資安宣導場次達成至少 4 次以上。

4. 維持SecurityScorecard資安評分A級。

長期(2030~)

確保資安及個資保護制度符合法規要求，強化資訊安全管理與客戶隱私保護機制，維持客戶信賴。

五、2025資安及個資執行成果

·已於2025/12/23向董事會提報114年度資安運作情形。

·中工2025年度未接獲任何關於顧客隱私侵害或資料遺失之已證實投訴案件，亦無主管機關裁罰紀錄。

·已啟動ISO 27001:2022資訊安全管理系統導入專案(由勤業眾信提供顧問輔導服務)。

·進行１次全公司資安通識教育訓練課程與４次內部之資安宣導，內容涵蓋個人資料保護、工地資訊安全及禁用大陸廠牌資通訊產品宣導、尊重智財嚴禁使用非法軟體規範、警示釣魚郵件及提高社交工程防範等。

·加入台灣電腦網路危機處理暨協調中心Taiwan Computer Emergency Response Team / Coordination Center倡議組織。