穩健公司治理
首頁 > 穩健公司治理 > 風險管理
組織架構

董事會為風險管理之最高決策單位,負責核定風險管理政策及重要風險管理制度,永續發展委員會協助董事會執行其風險管理職責,負責審查下設之公司治理暨風險管理小組提出之各項風險議題。

風險控管運作情形

針對民國113年風險辨識及因應提出民國113年風險報告,於民國113年12月16日經永續發展委員會通過,並提報民國113年12月27日董事會。

瞭解更多:風險管理資訊安全風險管理架構

中聯資源區分經濟/治理、環境及社會面向,針對營運、財務、危害、資安及法遵等風險類型進行風險辨識,重大風險及因應作為如下:

重大風險及因應作為
資訊安全
管理方針

中聯資源於民國111 年成立「資訊安全委員會」,制定資訊安全管理政策、目標及相關辦法,以提供可信賴之資訊服務,確保資訊資產之機密性、完整性及可用性。經上揭相關事務之推動,民國112 年取得 ISO 27001:2013 資訊安全管理系統驗證,民國 113 年通過ISO27001:2013 資訊安全管理系統複審,民國 114 年四月通過ISO 27001:2022資訊安全管理系統轉版驗證,並以「重大資訊安全事件零發生」為目標持續精進相關資訊安全管理作為。

資訊安全管理作為

中聯資源資訊安全委員會每週實施資訊安全社交工程演練及非公司授權軟體監測,透過PDCA(Plan-Do-Check-Act)循環不斷改善精進資訊安全強度並強化同仁資訊安全警覺性及恪遵智慧財產之觀念,每季由主任委員召開資訊安全委員會議檢討資安目標執行情形,每年進行一次內部資安稽核及資安外部稽核,並於年底向董事會報告資安執行成效。

民國113年資訊安全改善執行情形
執行項目 執行情形
郵件系統升級 完成
防火牆設備升級 完成
無線網路系統升級 完成
公司網域伺服器及端點作業系統升級 完成
視訊設備升級 完成
ISO 27001:2013外稽複評 通過認證
民國114年資安預計執行計畫
對外服務網站建置網頁應用程式防火牆(WAF)
資訊安全管理制度ISO 27001:2022轉版驗證
擴充小港機房虛擬主機儲存空間
個人電腦全面升級至Windows11PRO
伺服器主機作業系統(linux)升級
資安委外服務(威脅偵測應變/弱點掃描/資訊設備維運)
防毒與端點防護及郵件安全升級

資安防護體系

網路活動檢視:

  1. 所有網路活動均透過中鋼集團資安中心24小時持續偵測,以即時應對重大資安風險。
  2. 每月監測資訊安全目標之達成,作為未來精進改善之指標。
  3. 每月整理資安風險資訊,制定改善計劃,持續提升整體資安水平。

安全設定檢視:

  1. 個人電腦強制安裝防毒軟體,實施嚴格的帳號權限控制。
  2. 預設關閉USB存取及安裝軟體權限,提高端點設備安全性。
  3. 透過有效管制外部網際網路硬碟空間之使用措施,降低資料外洩風險。
  4. 嚴禁下載安裝使用非授權軟體,恪遵智慧財產權規範,防制侵權及電腦中毒資安事件之發生。
  5. 伺服器及資通設備進行定期安全性更新及重大漏洞修補,委託專業資訊安全廠商進行弱點掃描,確保系統漏洞的及時修復。

稽核事項改善:

  1. 依據相關法令及資安管理系統制訂規範,每年定期接受中鋼集團、外部單位及內部稽核等資安查核。
  2. 根據查核結果所提出之建議事項,持續改善流程和措施,確保符合ISO 27001:2022之標準及相關法令的要求。

郵件管控及社交工程演練:

  1. 郵件系統透過垃圾郵件伺服器進行過濾,降低垃圾郵件及惡意附件的風險。
  2. 定期進行社交工程演練,提高同仁資安意識,使其能夠識別和應對各種社交工程攻擊。

資訊安全教育訓練

資安單位每年於全員教育訓練辦理資安相關課程,定期於公司內部網站「資安專區」發佈資安宣導,並不定期於電子佈告欄播放「資安新知及防駭防網路詐騙」訊息。避免同仁誤觸日益詭譎多變的釣魚及詐騙手法,每週實施社交工程釣魚郵件演練,加強同仁之資安警覺性;為了確認同仁對資安觀念之瞭解程度,資訊處每季實施資安認知線上評估測驗,藉由測評結果評估資安教育訓練成效,並做為後續資安課程相關規劃之參考。

每年 每季 每月 每週 不定期
於全員教育訓練辦理資安課程 實施資安認知教育測驗 於公司內部網站「資安專區」發佈資安宣導 實施社交工程釣魚郵件演練 於電子佈告欄播放「資安新知及防駭防網路詐騙」訊息

為確認同仁對資安觀念之瞭解程度,資安單位預計於113年定期實施資安認知線上問卷測驗,藉由測評結果評估資安教育訓練成效,並做為後續資安課程相關規劃之參考。