台塑永續發展
  • 首頁
  • 最新消息
  • 公司治理
    董事長的話 經營理念 目標進度與SDGs連結 利害關係人與重大性議題 重大性主題與價值鏈鑑別 公司治理概況 永續發展工作推動 內控機制 風險管理 外部協會參與 智慧財產權 資訊安全
  • 永續環境
    環境保護與氣候變遷 水資源使用與管理 溫室氣體與能源管理 空氣污染物管理 廢棄物管理 環保法令遵循 安衛環組織架構與管理 原料使用情形 產品安全衛生責任 二氧化碳捕獲再利用 環境會計
  • 幸福人才
    人資政策與員工結構 員工福利與關懷 人才培訓與留用 人權政策
  • 供應鏈
    供應商及承攬商管理 供應鏈工安管理 承攬商工安管理 採購政策
  • 健康職場
    職場安全管理 員工關懷與健康職場 工安與高風險疾病預防 廠區緊急應變機制
  • 社會公益
    當地社區議合 產業促進 敦親睦鄰 社會扶助與捐獻
  • 繁

公司治理
Corporate Governance

   /    公司治理    /   資訊安全

INFORMATION SECURITY
資訊安全

穩定安全的生產、強化資料管控與防護能力、降低資訊安全管理的風險,以及提高社會大眾對落實公司治理的信心,是我們一直努力不懈的目標;本公司已成立專責資訊安全管理單位,透過定期檢討審核資訊安全政策及策略,審視、修改及增補相關的資訊安全管理制度,並符合資訊安全法令、法規與國際標準的要求。除定期召開會議檢討外,每年至少一次向董事會報告執行情形,最近一次提董事會報告日期為2021年7月7日。另本公司預計於2022年底取得ISO 27001認證,將資訊安全管理與認知落實在日常的業務中。
資訊安全目標與政策
為使資訊安全管理作業有所遵循,同時確保公司業務資訊或資料不受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,維持資訊或資料的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),與公司核心業務及生產活動的可持續運行,本公司參考法規與國際標準要求,制定「企業資訊網路管理辦法」、「資訊系統異常災變預防及處理準則」與「資訊安全管理作業要點」,敘明資訊安全政策與管理規章,並持續完善資訊安全控制目標與措施。
除符合法規及國際標準的要求,並落實資訊安全治理,本公司已成立「資通安全推動小組」,配合台塑企業成立的資訊安全管理專責組織,導入「ISO 27001資訊安全管理系統」,並陸續推動關鍵資訊基礎設施取得外部驗證機構認證,以強化並完善資訊安全管理。
同時本公司亦定期召集資通安全推動小組會議,依據PDCA管理作業循環,進行數位資產盤點與風險評估、資通安全稽核、人員教育訓練與資通安全演練計劃,檢討資通安全控制目標與措施的運作情形,檢視執行成果,並修改後續資訊安全目標及政策與控制措施。
資訊安全問題防範
為減少因資訊安全問題所產生的危害,並加強風險管理能力,本公司持續強化資訊安全防禦、員工資訊安全認知與資料安全防護等項目。
強化資訊安全防禦能力
資訊安全思維與教育訓練
本公司每年定期針對員工的資訊安全認知進行教育訓練,透過各種訓練課程強化員工資安意識與安全行為,2021年11-12月辦理資訊安全通識線上教育訓練,課程內容包含「網路釣魚」、「密碼保護」、「勒索軟體」、「訊息安全」、「瀏覽器安全」、「手機安全」、「商業電子郵件」、「無線上網」、「隱私」、「社交媒體」、「惡意軟體」等24堂課,共305人完成受訓,訓練時數為2,440小時。另於2021年12月舉辦「AEO優質企業員工安全意識」線上教育訓練,共650人次,訓練時數為6,500小時。
此外,為強化電子郵件安全,每年隨機寄送包括醫療知識、中獎通知、旅遊資訊等偽冒信件,測試員工是否具有充分安全意識。2021年1月隨機寄送3,078封郵件,其中共327個帳號點擊連結,占比約10.62%。針對點擊測試郵件連結的員工,系統自動導至「電子郵件安全意識提升線上課程」,員工須完成課程訓練並通過考核。
電子郵件安全意識宣導
電子郵件安全意識提升線上課程
資料安全防護
為避免資料在非經許可的狀態下被他人取得,公司重要文件與資料以加密方式儲存,相關電腦作業與文件存取權限都須經授權後方可進行;電子郵件收發均經掃描過濾,以阻擋惡意程式的威脅;員工上網則需經代理伺服器管制,以阻絶惡意網站的危害。
實體安全防護與操作演練
本公司重要的資訊基礎設施,如資通機房等,均設置門禁管制與CCTV系統,以管制並記錄人員進出,同時確保相關資訊基礎設施的實體安全。
此外,每年配合金管會、工業局及能源局等主管機關要求,完成必要的資安演練,對於資訊基礎設施內的備援及防護系統,如異地備援系統、資通機房消防系統等,均定期進行實地操作演練,以確認各系統的可用性,並同時增進維運人員對系統操作熟練度。

未來規劃

資安事件應變程序的定期審議與增補
定期審視已訂定的資訊安全事件緊急應變程序,並依據資訊安全技術發展趨勢,導入資安新科技的應用,與已揭露之資安弱點或漏洞事件,修改或增補相應的應變處置流程,並進行相關宣導與教育訓練等。
第三方模擬攻防演練
委託外部專家,針對網路及系統進行模擬攻擊測試,透過滲透模擬及弱點掃描發掘與瞭解資訊系統的安全狀況,並透過第三方驗證的客觀結果,作為進一步漏洞補強及網路與系統安全改善的指標。
ISO 27001認證委外輔導
透過委託外部專家或機構,協助建立完整且符合國際標準規章的資訊安全管理制度,以及必要的制度文件與記錄,並取得外部認證。
資訊安全認知宣導與教育訓練
根據資訊安全執行現況與技術的發展,隨時編修暨有的資訊安全訓練教材,並透過持續性教育訓練,不斷提升公司員工對資訊安全應有的認知與警覺。此外,針對從事資訊專業及程式開發的員工,發展更為深入專業的資訊安全訓練課程,亦是未來發展規劃的重點。
社交工程演練
每年定期透過電子郵件系統,對員工進行電子郵件社交工程演練,並統計記錄執行成果,追蹤員工對社交工程與資訊安全意識的改善情形,希望經由不斷的演練過程中,深化對資訊安全的認知、提升資安意識及警覺性,並達到員工開啟信件及點擊連結比率皆低於5%以下的目標。

FPC CSR REPORT
台灣塑膠工業股份有限公司
企業社會責任報告書

下載   公司治理

台塑永續發展

網站地圖

  • 最新消息
  • 公司治理
  • 永續環境
  • 幸福人才
  • 供應鏈
  • 健康職場
  • 社會公益
  • 報告下載
  • 聯絡我們

企業連結

  • 台塑集團
  • 台灣塑膠
  • 台塑石化
  • 南亞塑膠
  • 台灣化學

相關資訊

  • 版權說明
  • 線上問卷
  • Powered by Formosa Plastics Corporation.
  • © 2019 All rights reserved.
  • 訂閱最新消息

台塑永續發展

網站地圖

  • 最新消息
  • 公司治理
  • 永續環境
  • 幸福人才
  • 供應鏈
  • 健康職場
  • 社會公益
  • 報告下載

企業連結

  • 台塑集團
  • 台灣塑膠
  • 台塑石化
  • 南亞塑膠
  • 台灣化學
  • Powered by Formosa Plastics Corporation.
  • © 2019 All rights reserved.
  • 訂閱最新消息

訂閱最新消息

電子信箱