1. 本公司訂有「資訊安全管理規範」，規範硬體、軟體、資料及文件、人員等需滿足C(機密性)、I(完整性)、A(可用性)、C(法律遵循性)，並以持續運作、資安挑戰、適法性三個方向作為架構資通安全治理、管理之基礎，持續精進管理措施。

2. 本公司針對公司營運類資產如維修資訊系統、網路設備等資訊設備，投保硬體設備電子保險，透過保全監控、門禁管制作業避免設備被竊或惡意損毀情事發生。

3. 本公司致力於網路、個人電腦、伺服器、資料保護等資訊服務佈署層層資安防護，以達縱深防禦之效為目標，竭力於避免來自任何第三方惡意探測或駭侵，但仍無法保證可以完全避免駭侵(如：APT進階持續性攻擊(Advanced Persistent Threat)、DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題)致資訊服務系統無法正常運作，導入SIEM(Security Information and Event Management，安全資訊與事件管理)平台與SOC(Security Operation Center，資安監控中心)加速資安告警事件的查覺時間；同時也評估透過投保資安險做為後盾，在考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效後，採取以每年度的內外部稽核、內控制度及規章審查、程序驗證等稽核檢視作業，做為因應資訊安全所面臨的挑戰，採取以下策略：

• 每年依公司資訊安全政策持續關注資訊環境變化趨勢，並參考技術文刊資料，擬訂資訊安全防護機制與方案。
• 每年執行安全性檢測、資通安全健診、及資通安全事件演練，強化公司同仁資安危機意識及資安處理人員應變能力，以期能事先防範及第一時間有效偵測並阻絕擴散。
• 每季對全體同仁執行資訊安全教育訓練、執行社交工程演練、及不定期的資訊安全宣導藉以提升同仁的資安意識防患於未然。
• 制訂資通安全事件通報及應變管理程序，因應資通安全事件發生時，可依據不同事件等級進行內外部通報、成立資通安全事件應變小組，評估事件影響範圍進行災害控制及後續事件調查等，藉以縮小營運影響範圍、減少營運衝擊時間以維持旅客的權益為優先。

4. 本公司於112年10月通過BSI英國標準協會的重審，持續維持ISO27001資訊安全管理系統的有效性，證書效期為 112/12/28~114/10/31。