資訊安全

資訊安全政策與目的

面對商業競爭與全球化的挑戰,資訊安全與營運資料保護是企業永續發展與維持核心競爭力的重要基石;為確保資訊系統之穩定性、安全性及可用性,台泥致力於強化資訊安全管理機制與防禦能力,建立安全及可信賴之電腦化作業環境,確保系統、資料、設備及網路安全,以保護公司重要資訊資產及資訊系統作業正常運作。

資訊安全政策人工智慧政策個人資料保護及管理政策

資訊安全適用範圍與對象

適用於台泥企業團及國內外子公司及其他具有實質控制能力之關係企業,範圍包含各營運據點同仁及接觸集團內部資訊之委外廠商、約聘廠商及派遣廠商。

資訊安全管理架構

適用於台泥企業團及國內外子公司及其他具有實質控制能力之關係企業,範圍包含各營運據點同仁及接觸集團內部資訊之委外廠商、約聘廠商及派遣廠商。

建立資安管理制度與跨部門資安委員會

本公司於 2020 年依照 ISO/IEC 27001:2013 國際標準,採用 PDCA 之循環運作模式,建立與實施資訊安全管理制度,並由總經理召集成立跨部門「資訊安全管理委員會」,每年固定召開一次會議,負責審議資訊安全規劃與執行之有效性及資訊安全重大決議事項,並協調分配資訊安全所需資源。2024年提升為功能性委員會,並報告至董事會。現由3位獨立董事擔任委員,其中張汝恬董事具有資訊安全及人工智慧專業背景。

資訊安全管理小組

資訊安全管理委員會底下設立「資訊安全管理小組」,主要負責資訊系統之資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理委員會提報。

定期檢討與報告

資訊安全管理小組定期召開會議檢討執行情形,並每年定期向董事會報告執行情形與檢討。

強化資安體系

本公司於 2022 年 4 月 11 日董事會決議並公告設立資安長與資安專責單位,台泥總部資安專責成員共5人,100%取得四項國際資安認證,主要負責台泥企業團整體資安架構設計、資安維運與監控、內外部資安事件回應與調查,並定期向資安長匯報工作進度,資安長則向上報告於台泥企業團董事長與總經理,並每年定期於董事會呈報年度資安辦理情形。另因應AI發展,台泥已參考布萊切利宣言(Bletchley Declaration)及前沿AI安全性政策(Frontier AI Safety Commitments),並關注人工智慧行動峰會(AI Action Summit)之結果,持續優化制定人工智慧政策

績效

 

  • 台泥台灣與中國大陸據點、子公司Molicel、和平電力與OYAK CEMENT皆已取得ISO 27001資訊安全管理系統認證
  • 2024年 重大資安事件發生
  • 台泥要求全球新進員工 100% 簽署資訊安全聲明書,並不定期舉辦專家課程、發送資安政策與防護措施,提升全體員工資安意識。CIMPOR另推動CyberReady自動化網路安全訓練,另針對高風險員工規劃每年6次SOC專屬資安教育。2024 年員工資安教育訓練總時數  3,259  小時,合計 3,555 人次
  • 2024年共完成11次資安健檢與16次社交工程演練,演練整體違規率為2%,並持續以社交工程違規率低於3%為管理目標

資訊安全目標與管理方案

資訊安全目標
  1. 維持台泥企業團營運業務的穩定性,避免系統中斷或其他資安事件造成營運損失。
  2. 對台泥企業團之營業秘密等機敏資料採取適當保護措施,以降低發生毀損、竊取、洩漏、竄改、濫用以及侵權等資安事件之衝擊與風險。
  3. 持續提升台泥企業團各資訊資產之機密性、完整性與可用性。
管理方案
  1. 台泥營運據點皆訂有資訊業務營運持續計畫,台泥兩岸據點至少每半年執行一次相關測試,OYAK CEMENT及CIMPOR則每年至少一次,持續精進應變能力與執行成效。
  2. 台泥總部資安專責成員共5人,資安支援團隊共計 30 人,並透過教育訓練及社交工程演練將資安意識推廣至台泥企業團所有員工,以達到人人均為資安人的目的。
  3. 2024年召開 44 場資安周會、8 場資安月會、4 場資安季會,積極探討資安工具應用、資安專案執行現況與資安人力分配事宜。
  1. 每年定期評鑑資訊相關部門與全體資訊系統,依照資安風險評鑑機制,進行資產價值 x 弱點 x 威脅三大構面的資安風險分析,並進行風險改善作業,落實資訊安全管理精神
  2. 設立防火牆存取規則、入侵偵測防禦機制(IDS/IPS)、應用系統防火牆(WAF)、網頁流量過濾分析(Akamai)、上網行為監控系統(L7)、遠端連線機制強化(VPN雙因子驗證)等,確保內部網路安全,降低駭客入侵的風險
  3. 佈建全企業團端點防護措施(EDR)以及惡意連線偵測機制(DDI)
  4. 委託外部專業資安團隊24/7監控並分析異常事件 (MxDR),2024年共偵測48個資安威脅,並立即阻斷
  5. 定期檢視核心系統與設備之稽核軌跡,透過關聯式分析找出潛在威脅事件,確保無內外部異常存取行為
  6. 加入TW-CERT、趨勢科技及其他資安威脅情資中心,接收即時資安風險資訊。2024年共接收223筆資安情資,均立即處理並阻斷風險
  7. 營運總部及Molicel南科廠與小港廠導入列印管理系統,利用OCR影像辨識機敏字樣,並採臉部辨識機制及列印管理系統監控異常操作,防止同仁列印機敏資料
  8. 營運總部資訊部門同仁禁止攜帶攝像3C設備進入機敏區域與辦公區,防止機敏資料外洩;Molicel南科廠與小港廠劃定機敏資料區,重新規劃人員動線,禁止攜帶個人智慧型手機,並提供無鏡頭智慧型手機聯繫,同時設置金屬探測門與警衛崗哨,確保設備安全進出
  9. 弱點掃描每季進行1次,涵蓋核心關鍵系統與企業團全資訊系統,並要求2個月內改善高風險弱點,並完成複測以確認修補成效;2024年共執行2次滲透測試,發現23項風險,其中3項屬高風險均已於2個月內改善完成
  10. 紅藍軍對抗資安演練:透過模擬內網攻擊、橫向移動與潛伏,辨識系統潛在風險並持續強化安全機制;2024年演練結果建議加強偵測回應機制、定期審查AD系統的設定並改善弱密碼問題及作業系統版本升級
  11. 駭客誘捕系統 (Honeypot) 及模擬駭客攻擊:2024年有效阻攔526次攻擊,阻斷可疑連線並進行事件調查,確保無資安事件發生
  12. 資安查核作業擴大至中國大陸廠區,要求廠端指派人員擔任資安種子成員,由總部資安團隊協助培訓並提供資安遵循項目,確保廠端具備充足的資安防護措施
  13. 採用趨勢科技產品分析端點設備的資安風險,並依據NIST CSF框架進行資安成熟度評估,持續提升資安防護水平與管理效能
  14. 核心業務系統每年定期盤點並依 Need-to-use原則給予適當權限,並以特權帳號管理系統 (PAM) 控管安全
  15. 導入機敏檔案加密系統,防止核心業務資料遭駭客盜取營業秘密造成營運衝擊
  16. 嚴格控管檔案對外傳輸管道,包含可攜式設備(如 USB)、雲端硬碟、通訊軟體 (IM)、檔案傳輸協定 (FTP) 及郵件寄送機制等
  17. 最高權限帳號登入及企業團遠端連線才用行動動態密碼系統 (MOTP) 作為雙因子驗證;核心區域採用人臉識別與員工識別證刷卡的雙因子認證
  18. 核心業務系統與設備皆建立即時監控警告機制 (PRTG) ,如發生異常狀況可即時通知系統管理人員緊急處理
  19. 建立專屬台泥之ChatGPT系統,訓練台泥自有AI模型;ChatGPT採雙因子2FA認證,同時記錄使用者登入軌跡

資訊安全控制措施

台泥企業團訂有台泥企業團資訊安全政策,可至

投資人專區-公司規章」查詢。

台泥企業團資訊安全相關證書

ISO/IEC 27001:2022