資訊安全
資訊安全

1. 資訊安全目的:
面對商業競爭與全球化的挑戰,資訊安全與營運資料保護是企業永續發展與維持核心競爭力的重要基石;為確保資訊系統之穩定性、安全性及可用性,國際中橡致力於強化資訊安全管理機制與防禦能力,建立安全及可信賴之電腦化作業環境,確保系統、資料、設備及網路安全,以保護公司重要資訊資產及資訊系統作業正常運作。

2. 資訊安全適用範圍與對象:
適用於企業團及國內外子公司、台資公司及其他具有實質控制能力之集團關係企業,範圍包含各營運據點同仁及接觸集團內部資訊之委外廠商、約聘廠商及派遣廠商。

3. 資訊安全風險架構:
  • 本公司於 109 年依照 ISO/IEC 27001:2013 國際標準,採用 PDCA 之循環運作模式,建立與實施資訊安全管理制度,並由總經理於召集成立跨部門「資訊安全管理委員會」,每年固定召開一次會議,負責審議資訊安全規劃與執行之有效性及資訊安全重大決議事項,並協調分配資訊安全所需資源;同時於 112 年 12 月完成 ISO/IEC 27001:2022 轉版作業,以符合最新的資安要求。
  • 資訊安全管理委員會底下設立「資訊安全管理小組」,主要負責資訊系統之資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理委員會提報。
  • 資訊安全管理小組定期召開會議檢討執行情形,並每年定期向董事會報告執行情形與檢討,預計於 113 年 2 月底前呈向董事會報告。
  • 本公司已於 112 年 11 月 9 日設置資安長與三位資安專責成員共四位,資安支援團隊共計 28 人主要由企業團 - 台泥資訊股份有限公司 (以下稱台泥資訊) 負責整體資安架構設計、資安維運與監控、內外部資安事件回應與調查。

4. 資訊安全政策目標:
 資訊安全目標:
  • 維持國際中橡營運業務的穩定性,避免系統中斷或其他資安事件造成營運損失。
  • 對國際中橡之營業秘密等機敏資料採取適當保護措施,以降低發生毀損、竊取、洩漏、竄改、濫用以及侵權等資安事件之衝擊與風險。
  • 持續提升國際中橡各資訊資產之機密性、完整性與可用性。

 管理方案:
  • 111 年加入台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 以及趨勢科技等資安大廠的威脅情資中心,透過郵件不定期接收威脅情資,評判公司內部設備或軟體是否暴露威脅之下並限期負責人及時修補。
  • 113 年資安專責成員共 5 人,資安支援團隊共計 30 人,並定期執行資安教育訓練及社交工程演練將資安意識推廣至國際中橡所有員工,以達到人人均為資安人的目的。
  • 截至 113 年 10 月,共召開 42 場資安周會、9 場資安月會、2 場資安季會,積極探討資安工具應用、資安專案執行現況與資安人力分事宜。
  • 因應企業團積極轉型,重視能源事業營業秘密保護措施並強化其資安控管措施,如推行資料不落地、機敏資料集中化控管、遠距工作資安強化等措施。

5. 資訊安全控制措施:
  • 企業團已於 110 年 1 月取得 ISO/IEC 27001:2013 國際資安標準認證,並於 112 年 12 月通過 ISO/IEC 27001:2022 轉版認證,認證有效期限從 113 年 1 月至 116 年 1 月。
  • 資訊安全防護人人有責,為確保企業團員工之資訊安全意識,每年定期舉辦社交工程演練及資安教育訓練,113 年共舉辦 4 次社交工程演練及 2 場資安相關教育訓練,並分享近期資安熱門議題如 AI 相關之資安事件,以強化員工自身之資訊安全意識,避免受到社交工程之危害以致資訊安全事件發生。
  • 每年定期審視資安政策與規範內容,112 年修訂資訊安全政策 1 次,並於 113 年由人資部門向企業團全體同仁佈達資訊安全政策與要求。
  • 企業團所有員工、委外廠商暨其協力廠商須簽定保密合約,以確保存取企業團資訊服務或相關業務者,有責任及義務保護其所取得或使用企業團之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  • 每年定期盤點資訊資產清單,依照資安風險評鑑機制進行風險管理與改善,落實資訊安全管理精神,並定期使用資產軟硬體盤點工具,有效盤查軟硬體使用資訊,以防止同仁安裝未授權軟體或侵犯智財權之軟體。
  • 每年定期盤點核心業務統之系統權限帳號,並依照 Need-to-use 原則給予適當權限,並透過特權帳號管理系統 (PAM) 控管高權限帳號安全。
  • 導入行動動態密碼系統 (MOTP) 作為雙因子驗證機制,透過指紋辨識方式登入以減少密碼遺忘或遭破解之風險。
  • 導入弱點掃描工具,並定期針對企業團核心系統執行弱掃作業並須修補鎖發現至中高風險弱點,並持續追蹤複掃直至無中高風險存在。
  • 核心業務系統與設備皆有建立即時監控告警機制 (PRTG),如發生異常狀況可及時通知系統管理人員緊急處理,並有執行適當備援或備份機制且定期演練,以維持核心業務系統之可用性;並定期執行弱點掃描與滲透測試,以找出系統中所存在的弱點項目並及時修補。
  • 每年定期執行核心系統災害復原演練作業 (DR),將核心系統切換異地機房後確保系統可正常運行。
  • 辦公所使用之個人電腦皆安裝防毒軟體,並定期進行系統更新與病毒碼更新以降低駭客攻擊之風險及勒索病毒之危害。
  • 企業團全面導入惡意連線及內部擴散防護 (DDI) 及端點偵測回應 (EDR),並透過託管式偵測及回應 (MxDR) 由外部專家團隊協助監控企業團的端點設備安全。
  • 導入生產場域 (OT) 防護措施,保護生產線安全防範機台設備中毒導致營運中斷,並採購掃毒隨身碟可於產線新設備機台再連接至內網前先行掃描找出可疑病毒。
  • 導入機敏檔案加密系統,保護核心業務資料,防止遭駭客盜取營業秘密造成企業團的營運衝擊。
  • 嚴格控管企業團檔案對外傳輸管道,包含可攜式設備 (如USB)、雲端硬碟、通訊軟體 (IM)、檔案傳輸協定 (FTP) 及郵件寄送機制等。
  • 建立並維護網路相關安全性作業,包含防火牆控管、遠端連線安全設定 (VPN)、入侵偵測防禦機制,WAF 應用系統防火牆及上網行為監控,以降低遭到外部駭客入侵的風險。
  • 定期檢視核心系統與設備之稽核軌跡,確保無內外部異常存取行為。
  • 制定資訊安全事件的回應及通報標準程序,以適當處理資訊安全事件,避免傷害擴大。
  • 定期執行內、外部稽核作業,用以監督資訊安全制度遵循的落實度,並針對稽核發現事項進行矯正預防措施。

6. 113 年資訊安全執行情形:
  • 辦理兩梯次資訊安全認知及防護教育訓練,企業團各關係企業員工共計 300 人次參與。
  • 辦理 1 次異地備援切換演、4 次弱點掃描及 4 次社交工程演練,加強員工資訊安全意識與事件應變能力。
  • 建構機敏資料保護區,針對設計研發資料及個人資料設立獨立存儲區域,並依照權責給予存取權限以保護企業團智慧財產相關資料。
  • 113 年度無重大資訊安全之事件。
  • 預計於 113 年 12 月辦理外部稽核單位審查,並預計 0 缺失通過以維持 ISO 27001:2022 資安證書有效性。

7. 關於辦法及證書: