台塑公司企業社會責任-公司治理-資訊安全

INFORMATION SECURITY
資訊安全

穩定安全的生產、強化資料管控與防護能力、降低資訊安全管理的風險，以及提高社會大眾對落實公司治理的信心，是我們一直努力不懈的目標；本公司已成立專責資訊安全管理單位，透過定期檢討審核資訊安全政策及策略，審視、修改及增補相關的資訊安全管理制度，並符合資訊安全法令、法規與國際標準的要求。除定期召開會議檢討外，每年至少一次向董事會報告執行情形，最近一次提董事會報告日期為2024年6月20日。

泰山機房ISO 27001驗證

為驗證長久以來持續推動資訊安全管理系統(ISMS)的成效，並深化資訊安全管理作業程序，自2022年3月起，本公司開始著手準備泰山機房ISO 27001驗證相關作業，包含修訂資訊安全管理制度及管理程序書、實體安全防護驗證、緊急應變演練與資訊安全管理作業內部稽核等。經委託台灣檢驗科技公司(SGS)執行驗證，已於2022年12月完成實地查核驗證，取得 ISO/IEC 27001:2013證書，效期自2023年2月9日至2025年10月31日止。

設置資安長與資安人員等

為落實資訊安全治理及強化資訊安全防護，本公司於2022年8月1日設置資訊安全長及資訊安全專責單位，督導公司資訊安全管理業務的執行。此外，本公司原設有「資訊安全推動小組」，並指派經營階層主管擔任資訊安全管理代表，定期召集會議，審視資訊安全控制措施的實施與成效，以及協調資訊安全管理業務的推動，同時配合資訊部資訊安全組推動之資安管理作業，整合資安業務的分工與執行的一致性，以及協調企業資源的調度與分配。

紅隊演練

配合資訊部委託中華資安國際公司進行紅隊演練，於2024年7月啟動專案會議，7月進行初測作業，10月召開初測結果會議，完成弱點改善，12月進行複測作業，並於11~12月進行資訊系統弱點發現之解說，並分別於11/13和12/12進行網域安全攻擊實務與常見風險弱點程因分析之教育訓練。

資訊安全目標與政策

為使資訊安全管理作業有所遵循，同時確保公司業務資訊或資料不受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，維持資訊或資料的機密性(Confidentiality)、完整性(Integrity)及可用性(Availability)，與公司核心業務及生產活動的可持續運行，本公司參考法規與國際標準要求，制定「企業資訊網路管理辦法」、「資訊系統異常災變預防及處理準則」與「資訊安全管理作業要點」，敘明資訊安全政策與管理規章，並持續完善資訊安全控制目標與措施。

除符合法規及國際標準的要求，並落實資訊安全治理，本公司已成立「資通安全推動小組」，配合台塑企業成立的資訊安全管理專責組織，導入「ISO 27001資訊安全管理系統」，並陸續推動關鍵資訊基礎設施取得外部驗證機構認證，以強化並完善資訊安全管理。

同時本公司亦定期召集資通安全推動小組會議，依據PDCA管理作業循環，進行數位資產盤點與風險評估、資通安全稽核、人員教育訓練與資通安全演練計劃，檢討資通安全控制目標與措施的運作情形，檢視執行成果，並修改後續資訊安全目標及政策與控制措施。

資訊安全問題防範

為減少因資訊安全問題所產生的危害，並加強風險管理能力，本公司持續強化資訊安全防禦、員工資訊安全認知與資料安全防護等項目。

強化資訊安全防禦能力

資訊安全思維與教育訓練

本公司每年皆安排與資訊安全相關之教育訓練，透過各種訓練課程強化員工資安意識與安全行為。2024年11月舉辦「AEO安全認證企業之資訊安全教育訓練」，參加人數計673人次，訓練時數為6,550 小時。

此外，為強化電子郵件安全，每年隨機寄送包括旅遊資訊、企業公告、系統通知等偽冒信件，測試員工是否具有充分安全意識。2024年2月隨機寄送2,760封郵件，其中280個帳號點擊連結，占比約10.1%。針對點擊測試郵件連結的員工，系統將以指定閱讀方式進行社交工程教育訓練，員工須完成課程訓練並通過考核。

台塑公司近年社交工程演練數據
年度	受測人數	點擊連結人數	占比(%)
2024	2,760	280	10.1
2023	2,712	61	2.2
2022	2,725	264	9.69

以指定閱讀方式進行社交工程教育訓練

資訊安全專業訓練及證照

本公司為提升資訊安全人才專業技能，安排資訊安全推動小組成員參加多項資訊安全培訓課程及研討會，2024年共參加2場資安聯盟研討會、4場資訊安全研習課程，共6人參與，訓練時數共264小時。此外，於2022年10月共有4名資安推動小組成員成功取得CompTIA Security+國際網路資安證照。

日期	類別	名稱
2024/7	資安研討會	Fortinet OT 工控資安高峰會
2024/9	資安研討會	Security Summit 2024-多層次企業資安防護
2024/3	資安研習課程	鑑識駭客攻擊與數位證據留痕
2024/5		人工智慧科技-資通安全運作異常診斷、實務與案例解析
2024/11		網域安全攻擊實務及實機演練
2024/12		常見高風險弱點成因分析

資料安全防護

為避免資料在非經許可的狀態下被他人取得，公司重要文件與資料以加密方式儲存，相關電腦作業與文件存取權限都須經授權後方可進行；電子郵件收發均經掃描過濾，以阻擋惡意程式的威脅；員工上網則需經代理伺服器管制，以阻絶惡意網站的危害。

實體安全防護與操作演練

本公司重要的資訊基礎設施，如資通機房等，均設置門禁管制與CCTV系統，以管制並記錄人員進出，同時確保相關資訊基礎設施的實體安全。

此外，每年配合金管會、工業局及能源局等主管機關要求，完成必要的資安演練，對於資訊基礎設施內的備援及防護系統，如異地備援系統、資通機房消防系統等，均定期進行實地操作演練，以確認各系統的可用性，並同時增進維運人員對系統操作熟練度。

未來規劃

資安事件應變程序的定期審議與增補

定期審視已訂定的資訊安全事件緊急應變程序，並依據資訊安全技術發展趨勢，導入資安新科技的應用，與已揭露之資安弱點或漏洞事件，修改或增補相應的應變處置流程，並進行相關宣導與教育訓練等。

第三方模擬攻防演練

委託外部專家，針對網路及系統進行模擬攻擊測試，透過滲透模擬及弱點掃描發掘與瞭解資訊系統的安全狀況，並透過第三方驗證的客觀結果，作為進一步漏洞補強及網路與系統安全改善的指標。

ISO 27001認證委外輔導

透過委託外部專家或機構，協助建立完整且符合國際標準規章的資訊安全管理制度，以及必要的制度文件與記錄，並取得外部認證。

資訊安全認知宣導與教育訓練

根據資訊安全執行現況與技術的發展，隨時編修暨有的資訊安全訓練教材，並透過持續性教育訓練，不斷提升公司員工對資訊安全應有的認知與警覺。此外，針對從事資訊專業及程式開發的員工，發展更為深入專業的資訊安全訓練課程，亦是未來發展規劃的重點。

社交工程演練

每年定期透過電子郵件系統，對員工進行電子郵件社交工程演練，並統計記錄執行成果，追蹤員工對社交工程與資訊安全意識的改善情形，希望經由不斷的演練過程中，深化對資訊安全的認知、提升資安意識及警覺性，並達到員工開啟信件及點擊連結比率皆低於5%以下的目標。

(台塑企業台塑公司提供，2025/02/11)

/ Corporate Governance / Information Security

Information Security

In order to understand the employees' sensitivity to information security, the Information Division sent fake emails in February 2024 on medical knowledge, winning notices, travel information, etc. This is to enhance colleagues' awareness of network security and strengthen FPC's information protection.

The Information Security Testing Results

Year	Number of accounts tested	Number of accounts that clicked the link	Proportion
2024	2,760	280	10.1
2023	2,712	61	2.2
2022	2,725	264	9.69

FPC will conduct education and training for employees who click on the test email link, and employees will be more sensitive to information security through a periodically testing in the future.

(FPC, Feb 11, 2025)

訂閱最新消息