公司治理情形

台泥企業團重視營運透明度及公司治理,依中華民國公司法、證券交易法與其它相關法令,制定有效治理架構與執行實務規範,更自我規範嚴謹於法令之上,在執行作業,台泥企業團以國際企業誠信與公平之標準,以落實公司營運資訊透明,保障各利害關係人權益。

公司治理運作情形
設置公司治理主管
資訊安全
員工進修課程

1. 資訊安全目的:

面對商業競爭與全球化的挑戰,資訊安全與營運資料保護是企業永續發展與維持核心競爭力的重要基石;為確保資訊系統之穩定性、安全性及可用性,台泥致力於強化資訊安全管理機制與防禦能力,建立安全及可信賴之電腦化作業環境,確保系統、資料、設備及網路安全,以保護公司重要資訊資產及資訊系統作業正常運作。

2. 資訊安全適用範圍與對象:

適用於台泥企業團及國內外子公司、台資公司及其他具有實質控制能力之集團關係企業,範圍包含各營運據點同仁及接觸集團內部資訊之委外廠商、約聘廠商及派遣廠商。

3. 資訊安全風險架構:

  1. 本公司於 2020 年通過 ISO/IEC 27001:2013 國際標準,採用 PDCA 之循環運作模式,建立與實施資訊安全管理制度,並由總經理於召集成立跨部門「資訊安全管理委員會」,每年固定召開一次會議,負責審議資訊安全規劃與執行之有效性及資訊安全重大決議事項,並協調分配資訊安全所需資源;同時於 2023 年 12 月完成 ISO/IEC 27001:2022 轉版作業,以符合最新的資安要求。
  2. 資訊安全管理委員會底下設立「資訊安全管理小組」,主要負責資訊系統之資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理委員會提報。
  3. 資訊安全管理小組定期召開會議檢討執行情形,並每年定期向董事會報告執行情形與檢討。
  4. 本公司於 2022 年 4 月 11 日董事會決議並公告設立資安長與資訊安全部,資安部包含一位資安專責主管及兩位資安專責成員,主要負責台泥企業團整體資安架構設計、資安維運與監控、內外部資安事件回應與調查,並定期向資安長匯報工作進度,資安長則向上報告於台泥企業團董事長與總經理。
  5. 為宣示台泥企業團對於資訊安全的重視,於 2024 年董事會上決議成立「資訊安全管理委員會」,並委由三位獨立董事擔任委員,並推選張汝恬委員擔任會議主席及召集人,並由資安長定期於資訊安全管理委員會上呈報年度資安辦理情形 (預計 2025 年 2 月底向董事會作年度報告)。

4. 資訊安全政策與管理方案:

資訊安全目標:
  1. 維持台泥企業團營運業務的穩定性,避免系統中斷或其他資安事件造成營運損失。
  2. 對台泥企業團之營業秘密等機敏資料採取適當保護措施,以降低發生毀損、竊取、洩漏、竄改、濫用以及侵權等資安事件之衝擊與風險。
  3. 持續提升台泥企業團各資訊資產之機密性、完整性與可用性。
管理方案:
  1. 2022 年加入台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 以及趨勢科技等資安大廠的威脅情資中心,透過郵件不定期接收威脅情資,評判公司內部設備或軟體是否暴露威脅之下並限期負責人及時修補。
  2. 2024 年資安專責成員共 5 人,資安支援團隊共計 30 人,並定期執行資安教育訓練及社交工程演練將資安意識推廣至台泥企業團所有員工,以達到人人均為資安人的目的。
  3. 截至 2024 年 10 月,共召開 42 場資安周會、9 場資安月會、2 場資安季會,積極探討資安工具應用、資安專案執行現況與資安人力分事宜。
  4. 因應台泥積極轉型,重視能源事業營業秘密保護措施並強化其資安控管措施,如推行資料不落地、機敏資料集中化控管、遠距工作資安強化等措施。

5. 資訊安全控制措施:

  1. 台泥企業團於 2021 取得 ISO/IEC 27001:2013 國際資安標準認證,並於 2023 年 12 月通過 ISO/IEC 27001:2022 轉版認證,認證有效期限從 2024 年 1 月至 2027 年 1 月。
  2. 資訊安全防護人人有責,為確保台泥企業團員工之資訊安全意識,每年定期舉辦社交工程演練及資安教育訓練,2024 年共舉辦 4 次社交工程演練及2場資安相關教育訓練,並分享近期熱門議題如 AI 相關的資安事件,以強化員工自身之資訊安全意識,避免受到社交工程之危害以致資訊安全事件發生。
  3. 每年定期審視資安政策與規範內容,2023 年修訂資訊安全政策 1 次,並於 2024 年由人資向企業團全體同仁佈達資訊安全政策與要求。
  4. 台泥企業團所有員工、委外廠商暨其協力廠商須簽定保密合約,以確保存取台泥企業團資訊服務或相關業務者,有責任及義務保護其所取得或使用台泥企業團之資訊資產,以防止遭未經授權存取、擅改、破壞或不當揭露。
  5. 每年定期盤點資訊資產清單,依照資安風險評鑑機制進行風險管理與改善,落實資訊安全管理精神,並定期使用資產軟硬體盤點工具,有效盤查軟硬體使用資訊,以防止同仁安裝未授權軟體或侵犯智財權之軟體。
  6. 每年定期盤點核心業務統之系統權限帳號,並依照 Need-to-use 原則給予適當權限,並透過特權帳號管理系統 (PAM) 控管高權限帳號安全。
  7. 導入行動動態密碼系統 (MOTP) 作為雙因子驗證機制,透過指紋辨識方式登入以減少密碼遺忘或遭破解之風險。
  8. 導入弱點掃描工具,並定期針對企業團核心系統執行弱掃作業並須修補鎖發現至中高風險弱點,並持續追蹤複掃直至無中高風險存在。
  9. 核心業務系統與設備皆有建立即時監控告警機制 (PRTG),如發生異常狀況可及時通知系統管理人員緊急處理,並有執行適當備援或備份機制且定期演練,以維持核心業務系統之可用性;並定期執行弱點掃描與滲透測試,以找出系統中所存在的弱點項目並及時修補。
  10. 每年定期執行核心系統災害復原演練作業 (DR),將核心系統切換異地機房後確保系統可正常運行。
  11. 辦公所使用之個人電腦皆安裝防毒軟體,並定期進行系統更新與病毒碼更新以降低駭客攻擊之風險及勒索病毒之危害。
  12. 台泥企業團全面導入惡意連線及內部擴散防護 (DDI) 及端點偵測回應 (EDR),並透過託管式偵測及回應 (MxDR) 由外部專家團隊協助監控台泥企業團的端點設備安全。
  13. 導入生產場域 (OT) 防護措施,保護生產線安全防範機台設備中毒導致營運中斷,並採購掃毒隨身碟可於產線新設備機台再連接至內網前先行掃描找出可疑病毒。
  14. 導入機敏檔案加密系統,保護核心業務資料,防止遭駭客盜取營業秘密造成台泥企業團的營運衝擊。
  15. 嚴格控管台泥企業團檔案對外傳輸管道,包含可攜式設備 (如USB)、雲端硬碟、通訊軟體 (IM)、檔案傳輸協定 (FTP) 及郵件寄送機制等。
  16. 建立並維護網路相關安全性作業,包含防火牆控管、遠端連線安全設定 (VPN)、入侵偵測防禦機制,WAF 應用系統防火牆及上網行為監控,以降低遭到外部駭客入侵的風險。
  17. 定期檢視核心系統與設備之稽核軌跡,確保無內外部異常存取行為。
  18. 制定資訊安全事件的回應及通報標準程序,以適當處理資訊安全事件,避免傷害擴大。
  19. 定期執行內、外部稽核作業,用以監督資訊安全制度遵循的落實度,並針對稽核發現事項進行矯正預防措施。

6. 關於辦法及證書:

  1. 台泥企業團訂有台泥企業團資訊安全政策,可至「投資人專區-公司規章」查詢。
  2. 台泥企業團資訊安全相關證書如下: