資訊安全管理

SDGs目標

2023年亮點績效

取得ISO27001資訊安全系統管理認證

零資安事件、零資料外洩事件

對本公司的意義

保護客戶機密資訊，落實員工安全管理及機密資訊保護，以確保客戶、公司、員工及全體股東的利益，維持公司競爭力。

目標

短期目標 (2024年)	中期目標 (2025年～2028年)	長期目標 (2029年～)
零重大資安事件對外網站弱點掃描內部網路滲透測試執行社交工程演練導入網頁程式防火牆	零重大資安事件資安人員認證課程每年40小時 ISO27001:2022改版驗證(2025年) 設立資安專責主管及專責人員	零重大資安事件 ISO27001驗證範圍納入ERP系統結合雲端建立自主的資安維運

管理策略

進行機房設備、網路安全、病毒防護與電子郵件管理、系統存取與維運、人員教育訓練、資訊安全稽核及中國品牌資通訊設備清查等安全管理措施，強化公司資安防護能量。

投入資源與執行成果

請參閱本報告書ESG年度計劃與執行成果。

本公司資訊安全之權責單位為管理處，負責統籌規劃並執行推動資訊安全政策、資安管理事項、宣導資訊安全訊息、員工資安教育訓練，提升員工資安意識，落實資安管理措施且持續改善，以建立安全及可信賴之電腦化作業環境，確保本公司資料、系統、設備及網路安全、提供安全及有效之資訊服務。本公司資訊安全具體之管理方案及措施如下：

項目	具體管理措施
防毒軟體	使用防毒軟體，並自動更新病毒碼，減少病毒感染的機會
防火牆防護	防火牆設定連線規則如有特殊連線需求需額外申請開放
使用者上網控管機制	使用者需經申請核准後才可上網，系統自動過濾封鎖使用者上網可能連結到有木馬病毒、勒索病毒或惡意程式的網站
作業系統更新	作業系統自動更新，因故未更新者，由資訊人員協助更新
資料備份機制	資料庫資料及應用程式定期備份公用硬碟建立備援機制，每周將重要資料複寫到備援公用硬碟，避免硬碟損壞或中毒時遭受資料遺失
災難復原	每季執行資訊系統災難復原計劃演練，自備份的檔案資料轉到測試的資料庫，檢查某一系統的資料是否正常
郵件安全管控	有郵件掃描防護，在使用者接收郵件之前，事先防範不安全的附件檔案、釣魚郵件、垃圾郵件個人電腦接收郵件後，防毒軟體也會掃描是否包含不安全的附件檔案
權限管理	人員帳號權限管理及審核人員帳號權限定期盤點
存取控制	密碼三個月強制更換，且最小長度6碼網路硬碟存取依照各單位權限控管根據使用者提出隨身碟申請，經主管同意後始開放隨身碟使用權限
系統維運管理	重要系統資源與廠商簽訂維護合約，維持系統正常運作
人員教育訓練	一年舉辦兩次員工資安教育訓練不定期於公司EIP網站宣導資安事件不定期派人參加國內研討會
資訊安全稽核	每年定期接受內稽、內控文件稽核，外稽(會計師)及中鋼公司資安稽核

本公司已建立資訊安全事件通報程序及緊急應變計劃，當發生資訊安全事件時，可立即判斷事件等級並找出問題點，即時處理並留下紀錄，相關程序如下：

資安事件等級說明

一級	屬個別事件受損輕微，作業短暫停頓可立即修復
二級	屬區域性事件造成部分業務中斷，影響整體系統效率
三級	屬公司全面性事件，業務全面停頓，影響公司營運
四級	屬重大事故，足以影響公司聲譽及永續經營

步驟	時程	應變步驟	對策內容	預計完成時間
1	T(起始點)	啟動會議	清查網路及系統設備狀況，探討影響層面（含客戶出貨之影響評估）	1小時
2	T+1	確認中斷嚴重性	確認中斷時間，根據資訊系統運行情況進行判定是否要阻斷對外網路連線，阻擋駭客的入侵及破壞，以降低傷害依影響出貨之評估結果，確認是否立即將出貨作業由ERP系統作業改為人工手動作業	1小時
3	T+1	確認系統狀況	根據以上狀態了解各單位系統使用需求以及相關資源需求（人力、時間）	1小時
4	T+2	確認供應	IT系統確認復原前，為使仍能如期供貨，採用紙本作業並以人工複查方式，確保品質狀況無虞電腦訂單、出貨內聯單、發貨通知單改採傳真後電話通知，傳遞至權責單位產品以人工手動記錄及清點方式，管理入出庫數量（若僅有網路癱瘓，電腦仍可使用，可以excel等軟體輔助登記，若無電腦可使用，則以手寫紙本登錄）產品品質狀況由品質保證室出具word檔品質分析報表（或人工填具數據），並判定合格等級，交予倉儲組作為產品檢驗與合格狀況之判定批號挑選採人工方式進行出貨之品質證明書或品質分析報告若僅有網路癱瘓，電腦仍可使用，使用word軟體出具品質證明書，經簽核後以傳真或直接交付方式，交予相關需求人員。若電腦均無法使用，則影印程序書紙本，人工手寫相關出貨資訊與數據，經簽核後以傳真或直接交付方式，交予相關需求人員收到品質證明書或品質分析報告之單位依出貨需求，隨貨附上或傳真方式交予客戶，並辦理相關出貨所需事宜	1小時
5	T+2	通知客戶	向客戶報告中斷事件與因應計畫	1小時
6	T+3	系統復原	進行IT系統的修復判定IT系統已無威脅	1天（依實際狀況）
7	T+4	恢復原作業模式決策	依據資訊部門診斷之IT系統資訊，判定可恢復原作業模式	1小時
8	T+4	恢復原作業模式之通知	通知各單位恢復正常作業模式業務通知客戶狀況已排除	0.5小時

危機處理小組組成	擔當工作角色	職責
生產工廠廠長	工廠狀況監督	工廠狀況確認、報告、恢復原作業模式之決策
資訊部門主管	確定網路資訊系統狀況、判定系統復原狀況	系統復原、復原狀況通報
作業規劃主管	掌握系統維修狀況	確認成品出貨需求量排程與擬定成品交貨排程計畫
業務部門	客戶溝通	向客戶報告因應計畫
營業管理課生產操作室倉儲組品質保證室	緊急應變過程執行之其他單位	IT系統回復前，依應變方式執行作業，確保出貨順利

2023年資安執行成果績效

資安項目：資安事件

成果績效
0次資安事件發生

資安項目：社交工程演練

成果績效
初測(02月) 點閱連結人數比率9.12%，開啟附件11.4% 複測(10月) 點閱連結人數比率1.58%，開啟附件4.11%

2023 年資安改善執行項目

項次	專案名稱	備註
1	更換總部、煤化學生產工廠防火牆	降低網路安全性威脅的風險。
2	更換煤化學生產工廠核心交換器	降低網路安全性威脅的風險、並且提升傳輸速度。
3	簽訂資安顧問諮詢服務合約	05月委託中華資安公司進行資安健診，協助制訂短(資安架構檢視、執行弱點掃描、滲透測試)、中(導入XDR軟體)、長期(建置SOC平台監控服務)改善計畫，且不定期提供相關資安諮詢。
4	建置資通安全威脅偵測管理(SOC)監控服務	05月委託中華資安公司提供事前威脅的預警情報、事中威脅的即時告警以及事後威脅的分析建議，有效管理各種資安警訊，讓資安人員可以專注於處理重要的資安風險，共同防堵資安威脅。
5	公司對外網站弱點掃描：EIP及官網及出貨排程系統	委託中華資安公司針對標的進行安全弱點掃描，評估掃描標的是否存在已知的安全弱點，針對掃描結果提出相關建議與掃描報告，作為弱點修補參考，修正弱點後提供複測，針對前後結果進行交叉比對分析，降低客戶遭受入侵的風險。
6	執行社交工程演練	有效測試員工的資安意識。
7	通過ISO27001資安認證作業	05月由第三方單位BIS執行實地稽核且通過認證。

2024年資安強化計畫

項次	項目	內容
1	對外網站滲透測試 (官網、出貨排程系統)	以駭客思維嘗試入侵公司網站、資訊系統、資訊設備等軟硬體，找出潛在的漏洞，驗證企業的資料與設備是否可被竊取或破壞，評估資訊系統與硬體安全性是否有待加強，提早進行修補。
2	增購虛擬主機伺服器	因應虛擬主機增加，且中鋼公司提供的資源有限，本公司虛擬主機逐漸無法負荷，故增購新伺服器以分攤負載。
3	建置日誌管理伺服器	因應ISO27001要求，重要伺服器及資通設備需建置日誌管理伺服器收容紀錄，並定期由權責人員審核，以利提早發現異常或事後追蹤跡證。
4	導入資料庫稽核軟體	因應ISO27001要求，須完整記錄資料庫的資料異動或機敏資料查詢，並由權責或稽核人員定期審核，以避免未經授權的存取。
5	導入網頁程式防火牆	保護網站應用程式，透過監控及過濾網站傳輸的 HTTP/HTTPS 請求，WAF 可比對病毒與惡意程式等網路攻擊，並拒絕可疑、惡意流量進入網站，只讓安全且正常的流量通過，避免遭受惡意攻擊、資料外洩，保障公司網站安全。
6	社交工程演練服務	以提供之單位人員電子郵件帳戶為基礎，進行員工社交工程警覺性測試，輔以後端回報的統計系統，對照單位之資安政策與規範，檢測出使用者對電子郵件社交工程的警覺程度，以及資安防護的知識水準，檢測結束後提供完整演練報告，並可協助安排資安宣導或提出進一步的處理建議措施，完備人員資訊安全之正確作業方式與整體防護觀念。