中龍鋼鐵股份有限公司

關於中龍

中龍鋼鐵股份有限公司（以下簡稱本公司）為配合國家資通安全政策、強化公司內部資訊安全管理，以確保所屬之資訊資產的機密性、完整性及可用性及資訊業務持續運作之資訊環境，並符合國內外相關法規之要求，使其免於遭受內、外部的蓄意或意外之資安事件之威脅，特制定相關資安管理辦法規範。

根據資通安全管理法第3條之第五至八項規定，本公司不屬於公務機關、特定非公務機關、關鍵基礎設施及關鍵基礎設施提供者。雖不適用，但為配合國家資通安全政策推行，對於資通安全管理法第二、三章之相關條文，將依公司業務性質之適用性，予以酌列於相關管理辦法中。

本公司資訊安全之權責單位為資訊處及電控處，負責制定內部資訊安全政策、規劃資訊安全作業與資安政策推動與落實。稽核單位為稽核室。ERP與製程電腦間的串接及資安防範如下圖。

資訊處/電控處資訊安全管理設備與網路架構

本公司稽核室會定期查核，若查核發現缺失，即要求受查單位提出改善措施，且定期追蹤改善結果，以降低內部資安風險。資訊安全管理策略採用PDCA（Plan-Do-Check-Action）循環流程管理模式，確保可靠度目標之達成且持續改善。

資訊安全PDCA循環管理模式

目的
為增進本公司資訊作業安全及穩定之運作，提供可信賴之資訊服務，確保資訊資產之機密性、完整性及可用性，並順利推展本公司各項業務，特制定本公司資訊安全政策（以下簡稱「本政策」）做為公司資訊安全管理最高指導方針。

範圍
本政策所定目標及策略適用於本公司為營運所需之資訊安全控管流程，除了本公司全體同仁以外，接觸公司業務資訊或提供服務之廠商及協力廠商人員均適用。

目標
(1) 確保本公司業務相關資訊之機密性、完整性及可用性，保障公司資訊安全。
(2) 提昇資訊安全防護能力，達成業務持續運作之目標。

資訊安全具體管理方案，包含以下三個方向：

訂定公司資訊安全管理制度，規範人員作業行為

建置資訊安全管理設備，落實資安管理措施

進行資訊安全教育訓練，提昇全體同仁資安意識

本公司訂有多項資安管理辦法及措施，以規範本公司人員資訊安全行為，並定期檢視相關規定是否符合營運環境變遷，依需求適時調整。

本公司為防範各種外部資安威脅，除採多層式網路架構設計外，更建置各式資安防護系統，以提昇整體資訊環境之安全性。此外，為確保本公司人員之作業行為符合公司制度規範，亦導入資安系統工具，落實人員資訊安全管理措施。

本公司每年定期實施人員資訊安全教育訓練實務課程，並定期進行社交工程演練，藉以提昇本公司人員資安知識與專業技能。

本公司實施之資訊安全管理措施，包含如下：

類型	說明	相關作業
權限管理	人員帳號、權限管理、與系統操作行為之管理措施	人員帳號權限管理與審查人員帳號權限定期盤點
存取管理	人員存取內外部系統、及資料傳輸管道之控制措施	內/外部存取管控措施資料外洩管道之控制措施操作行為軌跡紀錄分析
外部威脅	內部系統潛在弱點、中毒管道、與防護措施	伺服器/電腦弱點檢測及更新措施病毒防護與惡意程式偵測
系統可用性	系統可用狀態、與服務中斷時之處置措施	系統/網路可用狀態監控及通報機制服務中斷之應變措施資料備份備援措施、本/異地備援機制定期災害還原演練

事件等級

等級	資料與資料庫	伺服器設備/個人裝置	網路設備	程控設備
第一級	非單一個人電腦中毒事件且有擴散之情形，作業短暫停頓可快速修復。
第二級	屬辦公室整體區域事件造成資訊業務中斷，影響部分單位資訊作業。
第三級	屬非核心系統與非核心關鍵基礎設施實際遭受攻擊或資料外洩之事故。
第四級	屬公司全面性資安事件，核心系統與重要關鍵基礎設施實際遭受攻擊以致業務停頓或機敏資料外洩之事故。

通報程序