關於新光鋼

為推動本公司之資通安全相關政策、落實資通安全事件通報及相關應變處理，由資通安全長召集相關人員成立資通安全推動小組，資通安全長經由董事會委任派任；本小組下設資安策略推動組、績效管理組及資通安全維護組，組長及組員承召集人之命，辦理本小組業務執行。本小組每年至少召開一次資通安全管理審查會議，並得視實際需要召集臨時會議。

為促使資訊安全政策落實及導入ISO 27001 資訊安全管理認證，經由董事會決議由劉百慧為資安長，負責本集團資安落實推動之作業，由資安長定期報告至總經理與董事會。執行以下政策確保未來投資人資料安全與強健整體資安環境：

• 導入 ISO 27001 資訊安全管理制度，遵照國際標準之要求推動及強化資訊安全管理系統，透過持續提升系統之有效性，提供更安全及穩定的資訊服務。
• 每年執行一次核心業務系統災難復原作業，以確保備援程序與資料備份的有效性，透過實際演練確保資訊系統服務能順利銜接，以預防災難發生的風險，作為本公司永續經營的基礎。
• 針對所有資料進行分級分類，並對於所儲存或傳遞之機敏資料採取嚴格的資料外洩防護措施與監控，以確保營業秘密安全。
• 降低發生毀損、失竊、洩漏、竄改、濫用與侵權等資通安全事件時之衝擊。
• 持續提升各資訊服務系統所有作業之機密性、完整性與可用性。

• 資安強化控管

  本公司強化公司遠端工作連線安全，全面導入軟體式雙因子認證，透過密碼搭配行動動態密碼，以防密碼外洩遭駭客入侵，有效解決帳號、密碼被盜的問題，確保組織內部網路的安全性。

• 資通安全意識強化

  提升公司同仁資訊安全意識，為宣導基本資訊安全概念、最新的資訊安全趨勢以及最新的駭客攻擊手法，定期透過不定期信件發送資安公告，提醒同仁集團資安規則調整及可能存在風險之行為，以降低資訊安全事件發生之機率。

• 防護機制建構

  本公司以零信任之基礎，貫徹縱深防禦概念建構由外而內、由內而外的資安防護機制，致力避免各面向之攻擊影響公司營運系統穩定運作，並定期評估資訊安全政策與作業之妥適性與有效性，擬定專案計畫持續強化保護措施，以降低資訊安全風險，此外，本公司資訊課依循 ISO 27001：2013 標準精神，利用 Plan-Do-Check-Act（PDCA）之循環運作模式，建立與管理資訊安全管理系統，在維持其有效運作中並持續發現可改進之處，建立安全且穩定之資訊系統服務。

• 透過第三方專家定期執行資安風險評估，依據風險影響的大小、機率，以及採用規劃、執行、查核與行動的方法，架構多層的資安防禦，並建立資訊安全關鍵績效指標。

• 資通安全風險管理

  每年度針對資訊資產檢視評估並重新核定組織內資訊資產等級以及風險可接受水準，並依據其水準依據資訊安全各面向進行風險評鑑，以改善組織內高風險項目，此外也會針對組織內異常事件及外部資訊安全事件及議題進行資訊安全風險評估與持續追蹤。

• 資通安全稽核

  至少每年執行乙次資訊安全稽核以及管理審查會議，確保資訊安全管理制度運作之適用性、適切性及有效性。

• 資通安全程序及法令法規遵循

  本公司依據資訊安全管理要求評估及擬訂相關管理規範，並針對所屬業務須訂定其作業管理規範，亦針對個人資料隱私保護、及其他資訊安全等標準與要求定期審查。

• 資通安全發展

  本公司已建置企業風險管理機制與資安事件處理標準程序，且隨時因應資安議題予以擬訂加強資安技術發展規劃，強化內容如下：

  • 加強遠端安全連線採雙因子驗證，提高網路連線資安管控。
  • 過教育訓練及演練，提高員工資安意識，降低因人員疏失造成資安事件的風險。
  • 建置網路流量及行為分析，提高對外服務安全。
  • 建立機敏資料保護區，加強核心業務之資料存取及使用之監控。
  • 強化控管公司內部對外之檔案傳輸，僅提供公司合法授權傳輸方式，並訂定對外傳輸規則並加強監控，以防資料外洩。
  • 加強核心事業區域實體安全，進出採雙因此驗證，保護公司重要資產及資料。
  • 透過系統監控工具確保各核心系統的穩定度。
  • 核心系統定期執行異地備援演練與還原演練，以防資訊安全事件發生能及時復原。