資通安全
資通安全風險管理架構
本公司於 2022 年 11 月 9 日董事會決議並公告設置資訊安全長與資安專責單位,資安專責單位包含一位資訊安全長及一位資安專責人員,負責推動、協調、監督本公司資通安全管理事項;並成立「資通安全管理委員會」,每月定期召開資通安全管理會議,定期檢視政策及目標並有效傳達員工並認知其重要性;每年定期(至少一年一次)向董事會報告資通安全管理執行情形。
資通安全政策
本政策適用於環球水泥股份有限公司、子公司及其他具有實質控制能力之集團關係企業(以下簡稱為本組織),範圍包含本組織同仁及接觸組織內部資訊之廠商,使同仁及廠商針對資通安全能有所依循,以利各項業務作業順利運行,並確保各項資訊與資通系統獲得適當保護之安全。
一、名詞定義:
(一)資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
(二)資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
(三)資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。
(四)機密性:確保被授權之同仁及廠商才可使用資訊。
(五)完整性:確保使用之資訊正確無誤、未遭竄改。
(六)可用性:確保被授權之同仁及廠商能取得所需資訊。
二、資通安全政策目標
(一)對於本組織之機敏資料採取適當保護與防範措施,以降低資安事件之風險。
(二)降低發生毀損、失竊、洩漏、竄改、濫用、以及侵權等資安事件之衝擊。
(三)持續提升本組織各資安作業之機密性、完整性與可用性。
三、資通安全管理方針
(一)知悉資安事件發生,能於規定的時間完成通報、應變及復原作業,資通系統架構依其風險等級將逐步建立高可用性之備援與異地資料備份機制,以確保服務不中斷;加強系統復原演練,以確保符合預期系統復原目標時間。
(二)因應資安威脅情勢變化,辦理資安教育訓練,以提高同仁之資安意識,大多數的資安事件來自於同仁的疏忽及欠缺資安意識,定期進行資安宣導與教育訓練,告知同仁基本資安概念、最新的資安趨勢以及最新的駭客攻擊手法,並讓同仁培養良好的資安工作習慣。
(三)勿開啟來路不明或無法明確辨識寄件人之電子郵件,仔細檢視電子郵件的來源地址、不打開來路不明的網路連結、在接觸機敏資料或是處理財務相關事宜時更加謹慎,以及每年定期辦理電子郵件社交工程演練,並對誤開啟信件或連結之同仁進行教育訓練,以降低資安事件發生之機率,並留存相關紀錄參考。
(四)提高資安設備等級與機制,提升防禦能力,防止發生中毒或入侵勒索事件,若發生資安事件應立即通報相關單位,以降低資安事件所造成的後續損失。
(五)留意安全漏洞通告,即時修補高風險漏洞,定期評估辦理設備、系統元件、資料庫系統及軟體安全性漏洞修補。
四、本政策至少每年檢討乙次,以符合本組織策略發展,確保政策有效性。
五、同仁及廠商若有違反本政策應依本組織相關規定予以處分,如涉有相關刑責或法律責任者,將酌情追訴法律責任。
六、本政策經董事長同意後,自公布日起實施,修正及廢止時亦同。
具體管理方案
為達資安政策與目標,建立全面性的資安防護,推行的管理事項及具體管理方案如下:
一、網路環境安全:強化網路區域控管、端點防毒防駭及上網保護。
二、資料保護及存取權限管理:強化應用程式安全控管機制、文件及資料控管及有效追蹤、漏洞修補作業等。
三、加入聯防組織:2023年7月加入「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」會員,這組織提供了許多資源,包括資訊共享、事件通報和應變支援,有助於提高公司的資安防護能力。
四、教育訓練與宣導:加強本組織同仁對郵件社交工程攻擊的警覺性,並定期進行辨識能力演練,提升資安意識。
投入資通安全管理之資源
資通安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
一、召開資通安全管理會議:定期檢視政策及目標並有效傳達員工並認知其重要性。
執行情形:2023年共召開12次資通安全管理會議。
二、教育訓練:新進同仁到職後需完成資通安全教育訓練課程;組織同仁需完成線上資訊安全教育訓練。
執行情形:資安教育訓練2023年共477人參加,完訓率:100%。
三、電子郵件社交工程演練:年度計執行一次社交工程釣魚郵件測試。
執行情形:2023年演練結果已達警示風險者(Link clicked)百分比為3.58%,高度風險者(Data entered)為0%,將對風險者加強宣導正確資安觀念。