我们致力于在营运的各环节严格规范信息安全保障工作，遵循经营所在地相关法规，通过制度的不断完善和多措并举，规避信息安全风险，构建安全有序的营运环境。

我们非常重视数据保护，制定了《档案机密管理办法》、《信息系统管理办法》，对数据管理、密码使用策略予以规定，为日常办公营运所涉及到的信息安全操作给予明确指引。

我们还针对信息安全系统进行灾备测试，制定了异地备援管理方案，具体包括：

• 为应对各类天灾、人祸、灾难、危机及各类突发异常事件的发生，公司营运系统及重要数据均设置更新异地备援模式，在主营运系统无法正常工作时，可由异地启动备份营运系统；

• 营运系统在异地备援中使用SQL 移动同步机制，采用系统数据恢复级别最高之热备方式。任何一方瘫痪另一方可立即接管所有应用，并确保数据的完整性。其他关键系统及数据采用异地备援数据备份方式，确保数据更新及损毁时之异地保存完整性。此外，空调、电源等计算机关联设备，应有适当之备援对策；

• 为确保主档之复原，应将主档内容定期抄录备份文件，存于公司外较为安全之场所保管。重要档案、清册抄录备份于安全场所。对系统软硬件之有关配置文件需要进行妥善存盘保管；

• 网络管理组定期测试备援数据可用性，每年制定《异地备援演习计划》，组织开展数据恢复演练。

此外，公司至少每季度对已投入运行、且已建立安全体系的系统进行漏洞扫描，以便及时发现系统的安全漏洞；每年组织对信息安全策略的适应性、充分性和有效性进行评审，必要时组织修订，确保信息系统的安全性。公司一共设置3位信息安全相关专业人员，并于2025年招开信息安全相关会议4次。

截至报告期末，合富医院管理平台系统已获得信息安全等级保护三级验证。

信息安全等级保护三级验证

本公司高度重视「客户隐私权」之保护，遵循《个人资料保护法》等相关法令，制定《个人资料之保护政策》，及严谨的个资隐私安全管理与防护措施，并建构数据治理制度，落实数据访问权限管控及数据拥有者之复核机制，确保数据的存取与共享受到妥善治理与保护，以及数据的可用性、完整性及保密性。

为强化商业秘密与客户信息之保密管理，公司于《员工手册》中明订保密管理制度，并在劳动契约中设有保密条款，明确禁止泄露机密数据、客户信息或其他涉密事项。全体员工均已签署保密协议，并于新进人员入职时实施信息安全教育训练，以提升保密意识与法遵观念。2025年，我们以在线课程的形式进行培训，100%员工参与，共计96小时。此外，为降低客户个人资料搜集与保存风险，我们仅搜集业务所需之必要信息，并采取定向储存机制。例如医疗机构所收集之数据，仅储存于院方本地端信息系统中，本公司不撷取或保存相关数据，确保信息权责分明并强化客户信任。

本政策适用范围涵盖本公司所有分公司、营运据点、子公司、客户及供货商。报告期间内，未发生任何信息安全或个资保护之违法事件，我们将持续致力于维护客户资料之安全与隐私权益。