資通安全風險架構

本公司於 2022 年 11 月 9 日董事會決議並公告設置資訊安全長與資安專責單位，資安專責單位包含一位資訊安全長及一位資安專責人員，負責推動、協調、監督本公司資通安全管理事項；並成立「資通安全管理委員會」，每月定期召開資通安全管理會議，定期檢視政策及目標並有效傳達員工並認知其重要性；每年定期（至少一年一次）向董事會報告資通安全管理執行情形。

環球水泥股份有限公司資通安全政策

本政策適用於環球水泥股份有限公司、子公司及其他具有實質控制能力之集團關係企業（以下簡稱為本組織），範圍包含本組織同仁及接觸組織內部資訊之廠商，使同仁及廠商針對資通安全能有所依循，以利各項業務作業順利運行，並確保各項資訊與資通系統獲得適當保護之安全。

一、名詞定義：

（一）資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。

（二）資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。

（三）資通安全：指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。

（四）機密性：確保被授權之同仁及廠商才可使用資訊。

（五）完整性：確保使用之資訊正確無誤、未遭竄改。

（六）可用性：確保被授權之同仁及廠商能取得所需資訊。

二、資通安全政策目標

（一）對於本組織之機敏資料採取適當保護與防範措施，以降低資安事件之風險。

（二）降低發生毀損、失竊、洩漏、竄改、濫用、以及侵權等資安事件之衝擊。

（三）持續提升本組織各資安作業之機密性、完整性與可用性。

三、資通安全管理方針

（一）知悉資安事件發生，能於規定的時間完成通報、應變及復原作業，資通系統架構依其風險等級將逐步建立高可用性之備援與異地資料備份機制，以確保服務不中斷；加強系統復原演練，以確保符合預期系統復原目標時間。

（二）因應資安威脅情勢變化，辦理資安教育訓練，以提高同仁之資安意識，大多數的資安事件來自於同仁的疏忽及欠缺資安意識，定期進行資安宣導與教育訓練，告知同仁基本資安概念、最新的資安趨勢以及最新的駭客攻擊手法，並讓同仁培養良好的資安工作習慣。

（三）勿開啟來路不明或無法明確辨識寄件人之電子郵件，仔細檢視電子郵件的來源地址、不打開來路不明的網路連結、在接觸機敏資料或是處理財務相關事宜時更加謹慎，以及每年定期辦理電子郵件社交工程演練，並對誤開啟信件或連結之同仁進行教育訓練，以降低資安事件發生之機率，並留存相關紀錄參考。

（四）提高資安設備等級與機制，提升防禦能力，防止發生中毒或入侵勒索事件，若發生資安事件應立即通報相關單位，以降低資安事件所造成的後續損失。

（五）留意安全漏洞通告，即時修補高風險漏洞，定期評估辦理設備、系統元件、資料庫系統及軟體安全性漏洞修補。

四、本政策至少每年檢討乙次，以符合本組織策略發展，確保政策有效性。

五、同仁及廠商若有違反本政策應依本組織相關規定予以處分，如涉有相關刑責或法律責任者，將酌情追訴法律責任。

六、本政策經董事長同意後，自公布日起實施，修正及廢止時亦同。

教育訓練執行情形

2022年執行情形：2022年11月辦理教育訓練，完訓人數483人，完訓率100%。

電子郵件社交工程演練執行情形

2022年執行情形：本年度寄送演練電子郵件650封，演練結果已達中度風險（Link clicked），計18筆，百分比為2.77%，高度風險者（Data entered）為0，將對個別再加強宣導使用者正確資安觀念。