為確保公司資訊安全及系統的高可用性，公司近年來持續進行資訊安全方面的建設，建立資訊安全管理小組，並按照國家網路安全等級測評（S3A3）的要求，制定了《資訊安全管理體系》和《資訊安全管理實用規則》，並逐步建立資訊系統的安全體系，再由資訊部門與稽核部門定期進行檢核、抽查各個與資訊安全有關制度的執行情況，以期將發生資安風險的可能性控制在最低。

資訊安全管理體系組織層面

資通安全政策

因應業務多變性和交易模式的多元性，依照我國《個人資料保護法》及中國《數據安全法》和《信息安全等級保護2.0版本》，進行加強資訊安全防護、減少資訊洩露及交易風險。為符合新合規標準，公司自主研發的“克麗緹娜店務通”和“克麗緹娜門戶網站系統”全面強化資安防護，包括：優化權限控管，限制敏感數據存取；導入日誌審計系統，監控並記錄操作行為；建置安全管理平臺，以多層防護技術降低資安風險。有效降低了客戶資料洩露與交易風險，進一步確保公司數位化經營更加穩定、安全且符合法規要求。

管理方案

本公司共分四個方向掌控資通安全：

為了保護公司資料資產的安全和保證業務的連續性，公司近三年對網路安全、資料備份、網路准入等方面進行了軟硬體升級，依據查核結果進行資安指標衡量及量化分析，透過定期模擬演練資安進行資訊安全評估，確保資安規範持續有效。

2024年執行情形

1. 資通安全團隊：配置5名專業資安人員，負責資訊安全管理與風險防範，確保資安政策落實與系統穩定運行。
2. 網路與系統安全投入：投入新台幣215萬元，用於資安軟硬體升級、系統維護與優化，有效降低潛在風險。
3. 資安稽核機制：定期進行內外部稽核，全面檢視資安制度與防護措施，確保持續符合最新標準與合規要求。
4. 資安培訓與宣導：不定期舉辦資安宣導活動與測驗，強化全員資安意識與風險應變能力，預防人為資安事件。
5. 雲端備援測試：每年執行至少1次雲端備份與還原測試，確保備援系統有效，並驗證突發狀況下的資料恢復能力，保障業務穩定。
6. 克麗緹娜店務通系統取得網路安全等級保護認證：完成應用系統的網路安全等級保護（等保）認證，符合國家資安合規標準。
7. 克麗緹娜門戶網站系統取得網路安全等級保護認證：完成應用系統的網路安全等級保護（等保）認證，符合國家資安合規標準。
8. 應用系統風險掃描滲透演練：不定期執行應用系統的自動化風險掃描與滲透測試，模擬實際攻擊情境，全面檢測潛在資安漏洞，並即時修復，進一步降低系統被入侵風險。
9. 私有雲平台優化提升：私有雲架構升級改造，提升資源利用效率與性能。

績效成果

近四年度資安事件違反件數統計，如下表：