(一)資通安全管理策略與架構
企業資訊安全治理組織:本公司於民國101年成立「資訊安全小組」，並由資訊部部經理擔任召集人，負責資訊安全制度相關事項之決議及建立資訊安全管理架構之安全責任。
於111年03月31日公告設立資安長、資安專責主管及資安專責人員（2員）。
企業資訊安全組織架構: 統一公司「資訊安全小組」，組織架構執掌如下：
1.資安維運組: 負責資訊安全管理事項之規劃及推動。
2.資安稽核組: 負責資訊安全管理稽核之規劃、執行及改善措施跟進。
3.緊急處理組: 負責營運持續規畫及演練，與災害發生時之應變作業。
「資訊安全小組」持續進行以下工作：

1. 配置適當人力資源及設備，負責資訊安全制度之規劃、監控及執行資訊安全維護作業。
2. 113年起風險控管小組改由列管部門最高主管擔任，並增加向審計委員會報告（資訊為風險控管小組成員之一）

(二)資通安全政策
企業資訊安全管理策略: 本公司已於民國101年建立資訊安全管理體制，建構資訊安全管理四階管理文件，作為公司現行的資訊安全管理作業之依據，此管理作業並符合ISO/IEC 27001:2013資訊安全管理標準，並取得公證第三方之認證。
為確保本公司資訊安全管理系統（ISMS）持續符合國際最新標準並與時俱進，積極投入 ISO 27001:2022 轉版作業，並已於 114 年 3 月獲證通過轉版驗證。本次驗證核心聚焦於既有 ISMS 的程序與文件對應調整，並依據 ISO 27001:2022 對核心資安控制措施進行全面檢討與優化，成功完成由 ISO 27001:2013 至新版標準的升級，確保系統與國際最新規範接軌。新版認證效期已更新為 114/4/16 至 117/4/16 (原認證效期：111/4/24～114/4/16)。

(三)資訊安全風險管理架構
本公司定期依資訊安全風險評鑑與管理作業程序執行資安風險管理，辨識及分析資安風險與評估其等級，若超過可接受等級將採取風險處理及改善措施，以降低可能面臨之風險，並依循PDCA的管理循環以確保資安目標之達成，進而促使資安持續改善。於114/12/18向董事會報告。
規劃（Plan）-資安風險管理

1. 企業資訊安全風險評估
2. 資訊安全風險管理與對策制訂
3. 遵循資安國際標準（ISO27001）

執行（Do）-多層資安防護

1. 資訊資產管理與安全配置
2. 存取控制與身份管理
3. 實體與環境安全管理
4. 系統與網路安全管理
5. 資訊安全事事件管理

檢查（Check）-監控資安管理成效

1. 資訊安全持續監控
2. 資訊安全指標量化
3. 資訊安全弱點掃描及滲透測試
4. 資訊安全內部稽核
5. 管理階層審查與通過資安國際稽核認證

行動（Act）-檢討與持續改善

1. 不符合事項之矯正與措施檢討改善
2. 資訊安全教育訓練與宣導

(四)具體管理方案

1. DR演練
2. 對外網頁弱點掃描
3. 主機弱掃
4. 執行帳號權限審查
5. 端點防護
6. 內網ServerFarm防火牆啟用，提升伺服器的資安防護
7. 防火牆 AntiVirus & IPS Updates 更新頻率
8. 重要系統主機與管理者電腦安裝MDR
9. 防毒軟體版本依廠商發布的修補程式即時升級
10. 升級Forti網路防火牆設備的版本

(五)投入資通安全管理之資源

1. 資安案例分享及強化資安意識宣導：資安教育訓練6場，資安宣導12次，員工開機畫面資安提醒（每日）
2. 軟體盤點：每年一次，以保證合法使用授權軟體及防範惡意軟體。
3. 端點防護：每週檢查病毒碼更新，每週檢查微軟作業系統更新。
4. DR演練：定期備份資料回復測試至少每半年1次，核心系統定期災難復原演練每年1次。
5. 主機弱掃：每年兩次主機弱掃，修補資安漏洞。
6. 3W網站（統一企業員工入口網）公告：按資安最新案例不定期公告提醒及教育員工注意。
7. 資安相關重要會議：管審會2次，資安小組會議6次。
8. 資安專責單位：4人(資安長 * 1、資安專責主管 * 1、資安專責人員 *2)

(六)民國114年企業資訊安全措施推動執行成果

1. 114年外部單位實地定期審查，通過ISO27001：2022轉版驗證，證書持續有效中。
2. 新增修訂ISMS資安規範共30份。
3. 114年資安教育訓練時數共計5052小時，2383人次。

(七)重大資通安全事件
114年進行資安風險評鑑作業,評鑑結果，本公司並無影響營運風險的重大資安事項。