資訊安全

資訊安全政策與目的

面對商業競爭與全球化的挑戰,資訊安全與營運資料保護是企業永續發展與維持核心競爭力的重要基石;為確保資訊系統之穩定性、安全性及可用性,台泥致力於強化資訊安全管理機制與防禦能力,建立安全及可信賴之電腦化作業環境,確保系統、資料、設備及網路安全,以保護公司重要資訊資產及資訊系統作業正常運作。

資訊安全政策人工智慧政策個人資料保護及管理政策

資訊安全適用範圍與對象

適用於台泥企業團及國內外子公司、台資公司及其他具有實質控制能力之集團關係企業,範圍包含各營運據點同仁及接觸集團內部資訊之委外廠商、約聘廠商及派遣廠商。

資訊安全管理架構

建立資安管理制度與跨部門資安委員會

本公司於2020年通過ISO/IEC 27001:2013國際標準,採用PDCA之循環運作模式,建立與實施資訊安全管理制度,並由總經理於召集成立跨部門「資訊安全管理委員會」,每年固定召開一次會議,負責審議資訊安全規劃與執行之有效性及資訊安全重大決議事項,並協調分配資訊安全所需資源;同時於2023年12月完成ISO/IEC 27001:2022轉版作業,以符合最新的資安要求。

資訊安全管理小組

資訊安全管理委員會底下設立「資訊安全管理小組」,主要負責資訊系統之資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理委員會提報。

定期檢討與報告

資訊安全管理小組定期召開會議檢討執行情形,並每年定期向董事會報告執行情形與檢討。

強化資安體系

本公司於2022年4月11日董事會決議並公告設立資安長與資訊安全部,資安部包含一位資安專責主管及兩位資安專責成員,主要負責台泥企業團整體資安架構設計、資安維運與監控、內外部資安事件回應與調查,並定期向資安長匯報工作進度,資安長則向上報告於台泥企業團董事長與總經理。

為宣示台泥企業團對於資訊安全的重視,於2024年董事會上決議成立「資訊安全管理委員會」,並委由公司獨立董事擔任會議主席及召集人,並於2025年起由資安長定期於資訊安全管理委員會上呈報年度資安辦理情形。

績效

  • 台泥台灣與中國大陸據點、子公司Molicel、和平電力與OYAK CEMENT皆已取得ISO 27001資訊安全管理系統認證
  • 2024年 重大資安事件發生
  • 台泥要求全球新進員工 100% 簽署資訊安全聲明書,並不定期舉辦專家課程、發送資安政策與防護措施,提升全體員工資安意識。CIMPOR另推動CyberReady自動化網路安全訓練,另針對高風險員工規劃每年6次SOC專屬資安教育。2024 年員工資安教育訓練總時數 3,259  小時,合計 3,555 人次
  • 2024年共完成11次資安健檢與16次社交工程演練,演練整體違規率為2%,並持續以社交工程違規率低於3%為管理目標

資訊安全目標與管理方案

資訊安全目標
  1. 維持台泥企業團營運業務的穩定性,避免系統中斷或其他資安事件造成營運損失。
  2. 對台泥企業團之營業秘密等機敏資料採取適當保護措施,以降低發生毀損、竊取、洩漏、竄改、濫用以及侵權等資安事件之衝擊與風險。
  3. 持續提升台泥企業團各資訊資產之機密性、完整性與可用性。
管理方案
  1. 2022 年加入台灣電腦網路危機處理暨協調中心(TWCERT/CC)以及趨勢科技等資安大廠的威脅情資中心,透過郵件不定期接收威脅情資,評判公司內部設備或軟體是否暴露威脅之下並限期負責人及時修補。
  2. 2025 年資安專責成員共 5 人,資安支援團隊共計 30 人,並定期執行資安教育訓練及社交工程演練將資安意識推廣至台泥企業團所有員工,以達到人人均為資安人的目的。
  3. 截至 2025 年 11 月,共召開 38 場資安周會、10 場資安月會、3 場資安季會,積極探討資安工具應用、資安專案執行現況與資安人力分事宜。
  4. 因應台泥積極轉型,重視能源事業營業秘密保護措施並強化其資安控管措施,如推行資料不落地、機敏資料集中化控管、遠距工作資安強化等措施。

資訊安全控制措施

  1. 台泥企業團於 2021 取得ISO/IEC 27001:2013國際資安標準認證,並於 2023 年 12 月通過ISO/IEC 27001:2022轉版認證,認證有效期限從 2024 年 1 月至 2027 年 1 月。
  2. 資訊安全防護人人有責,為確保台泥企業團員工之資訊安全意識,每年定期舉辦社交工程演練及資安教育訓練,2025 年共舉辦 4 次社交工程演練,員工違規率為 3.49% 以及 2 場資安相關教育訓練,內容包含近期熱門議題如AI相關的資安事件,以強化員工自身之資訊安全意識,避免受到社交工程之危害以致資訊安全事件發生。
  3. 每年定期審視資安政策與規範內容,2025 年修訂資訊安全政策 1 次,並由人資部門向企業團全體同仁佈達資訊安全政策與要求。
  4. 台泥企業團所有員工、委外廠商暨其協力廠商須簽定保密合約,以確保存取台泥企業團資訊服務或相關業務者,有責任及義務保護其所取得或使用台泥企業團之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  5. 每年定期盤點資訊資產清單,依照資安風險評鑑機制進行風險管理與改善,落實資訊安全管理精神,並定期使用資產軟硬體盤點工具,有效盤查軟硬體使用資訊,以防止同仁安裝未授權軟體或侵犯智財權之軟體。
  6. 每年定期盤點核心業務統之系統權限帳號,並依照Need-to-use原則給予適當權限,並透過特權帳號管理系統(PAM)控管高權限帳號安全。
  7. 導入行動動態密碼系統(MOTP)作為雙因子驗證機制,透過指紋辨識方式登入以減少密碼遺忘或遭破解之風險。
  8. 導入弱點掃描工具,並定期針對企業團核心系統執行弱掃作業並須修補鎖發現至中高風險弱點,並持續追蹤複掃直至無中高風險存在。
  9. 核心業務系統與設備皆有建立即時監控告警機制(PRTG),如發生異常狀況可及時通知系統管理人員緊急處理,並有執行適當備援或備份機制且定期演練,以維持核心業務系統之可用性;並定期執行弱點掃描與滲透測試,以找出系統中所存在的弱點項目並及時修補。
  10. 辦公所使用之個人電腦皆安裝防毒軟體,並定期進行系統更新與病毒碼更新以降低駭客攻擊之風險及勒索病毒之危害。
  11. 台泥企業團全面導入惡意連線及內部擴散防護(DDI)及端點偵測回應(EDR),並透過託管式偵測及回應(MxDR)由外部專家團隊協助監控台泥企業團的端點設備安全。
  12. 導入生產場域(OT)防護措施,保護生產線安全防範機台設備中毒導致營運中斷,並採購掃毒隨身碟可於產線新設備機台再連接至內網前先行掃描找出可疑病毒。
  13. 導入機敏檔案加密系統,保護核心業務資料,防止遭駭客盜取營業秘密造成台泥企業團的營運衝擊。
  14. 嚴格控管台泥企業團檔案對外傳輸管道,包含可攜式設備(如USB)、雲端硬碟、通訊軟體(IM)、檔案傳輸協定(FTP)及郵件寄送機制等。
  15. 建立並維護網路相關安全性作業,包含防火牆控管、遠端連線安全設定(VPN)、入侵偵測防禦機制,WAF應用系統防火牆及上網行為監控,以降低遭到外部駭客入侵的風險。
  16. 定期檢視核心系統與設備之稽核軌跡,確保無內外部異常存取行為。
  17. 制定資訊安全事件的回應及通報標準程序,以適當處理資訊安全事件,避免傷害擴大。
  18. 定期執行內、外部稽核作業,用以監督資訊安全制度遵循的落實度,並針對稽核發現事項進行矯正預防措施。
  19. 建立AI for Security機制,透過大語言模型分析系統網路之稽核軌跡,及時鑑別出潛在的異常威脅並及早預防。
  20. 導入自動化紅隊演練工具,模擬駭客攻擊情境並分析潛在的可攻擊路徑,並整合CVE弱點項目供管理員修復相關弱點威脅。

關於辦法及證書

台泥企業團訂有台泥企業團資訊安全政策,

可至 「投資人專區-公司規章」查詢。

證書可點選右側

icon資安事件通報及應變流程

台泥企業團資訊安全相關證書

ISO/IEC 27001:2022