永續營運
資訊/網路安全
資訊/網路安全 【重大主題】
衝擊影響
中龍為公開發行公司,亦為中鋼公司100%持股之子公司,依中鋼集團資安通報管理辦法及上市公司重大訊息之查證暨公開處理程序第26款,當公司發生資通安全事件,造成公司重大損害時,須依規定透過中鋼發佈重大訊息,也連帶影響公司形象。
承諾
- 「資訊安全委員會」統籌資訊安全相關政策制定、執行、風險管理與遵循度查核,並檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性。
- 每年定期將資訊安全整體執行情形提報董事會,確保運作之適切性與有效性及落實資安監理。
指標與目標
| 短期目標(1~2年) | 中期目標(3~5年) | 長期目標(5年以上) |
|---|---|---|
|
|
|
註:
中龍根據《證交所重大訊息發布應注意事項參考問答集》制定《資訊安全事件通報及應變管理程序》,資訊安全事件等級區分為四個等級,第三、四級屬於重大資安事件。
第三級事件:非核心資訊系統與非核心資訊基礎設施,實際遭受攻擊以致業務停頓或資料外洩之事故。
第四級事件:核心資訊系統與核心資訊基礎設施,實際遭受攻擊以致業務停頓或機敏資料外洩之事故。
中龍根據《證交所重大訊息發布應注意事項參考問答集》制定《資訊安全事件通報及應變管理程序》,資訊安全事件等級區分為四個等級,第三、四級屬於重大資安事件。
第三級事件:非核心資訊系統與非核心資訊基礎設施,實際遭受攻擊以致業務停頓或資料外洩之事故。
第四級事件:核心資訊系統與核心資訊基礎設施,實際遭受攻擊以致業務停頓或機敏資料外洩之事故。
採取行動
- 資訊安全委員會每季召開資訊安全委員會議檢討資安目標執行情形。
- 訂定資訊資產與風險評鑑管理規定,執行風險鑑別及採取適當的安全防護控制措施,以降低資通訊安全事件的威脅。
- 訂定資訊安全事件通報及應變管理程序,確保發生資訊安全事件時,能迅速依程序通報,完成損害控制或復原作業,降低資訊安全事件對公司之衝擊影響。
評估方法
- 每月分析資安監控報表確認防禦狀況,每季由主任委員召開資訊安全委員會議檢討資安目標執行情形。
利害關係人議合
中龍依據利害關係人議合機制定期或不定期進行溝通互動,並將資訊揭露公開資訊觀測站、永續報告書、相關平台或中龍官網。
執行成效
| 項目 | 2024年實績值 | 2024年目標值 | 達成率(%) | 未達原因 | 檢討改善 |
|---|---|---|---|---|---|
| 重大資安事件(件) | 0 | 0 | 100.0% | - | - |
| 資訊安全管理系統轉版驗證(%) | 100 | 100 | 100.0% | - | - |
管理活動
【資安聯防】
中龍為確保資訊安全,避免發生資安事件,運用大數據預測資安事件,持續推動資訊安全與聯防工作,作法與成果如下:
- 重大資安事件0件。
- 2024.06完成社交工程釣魚郵件演練(含初測、複測)及資安講座教育訓練。
- 2024.11通過ISO 27001:2022轉版驗證。
- 2024.11參與中鋼下半年度社交工程演練及下半年度資安講座。
【防護機制】
中龍加強應用各項資安設備紀錄,強化自動預測與即時,建立智慧化防護機制,分析,預測各網路型資安設備運行紀錄,並即時呈現於資安專區網站供經理部門長官隨時查閱,遭遇駭客攻擊異況時自動告警並自動阻擋。
【稽核】
中龍積極參與各項稽核活動,每年接受內部資安稽核,第二方資安稽核(中鋼公司、勤業會計師事所),以及第三方資安稽核(BSI_ISO 27001),使得整體資安系統更完善,作業面更確實。
ISO 27001證書