網站導覽
English
聯絡我們
會員登入
熱門搜尋:
天然氣
氣費查詢
進階搜尋
董事會成員 各功能性委員會 運作情形 重要決議事項 重要內規 內部稽核組織及運作 風險管理 年度執行情形
投資人專區 > 公司治理 > 風險管理

資安風險

相關內容頁面:
風險控制及管理 風險管理政策與程序 風險管理執行情形 資安風險 永續發展執行情形回復
一、組織:

欣欣天然氣公司(以下簡稱本公司)資訊安全管理制度乃依據我國資訊安全相關法令規範訂定。本公司除訂有資訊安全管理政策外,另有個人資料(以下簡稱個資)保護管理制度,藉此強化資安及個資管理作業。 本公司為強化資訊安全管理,自民國102年11月起成立「個人資料保護因應執行小組」,於民國105年4月修訂為「資安管理暨個資保護小組」。由副總經理擔任召集人,並由召集人指派或邀請小組之成員,負責規劃、執行與控管資訊安全及個資保護相關工作,辦理風險評估、安全分級、系統安全控管措施及監督資訊安全管理事項,112年度亦依「公開發行公司建立內部控制制度處理準則」,完成資安專責主管及資安專責人員之設置。 「資安管理暨個資保護小組」下設有「資安管理分組」、「個資保護分組」、「內部檢查分組」,負責本公司資訊安全及個資保護督導、推動與稽核,建構全方位的資安防禦能力及同仁良好的資訊安全意識。

申請為會員

圖一 資安管理暨個資保護小組組織架構圖

二、資訊安全風險管理機制:

建立防火牆、防毒軟體、郵件過濾等軟硬體安全設施及機制,並持續透過訓練與宣導,強化人員的資安意識,另妥善建立重大系統之備份機制。資安攻擊手法日新月異,僅以有限資源將防護效益最大化,惟仍無法保證資訊系統能完全避免來自任何第三方癱瘓系統的網路攻擊。本公司天然氣供氣系統,採用網路加密連線,並採實體網路區隔架構,未與外界網際網路連結,各項系統操控須於公司內部或貯槽人員執行操作,無法經由遠端連線控制,降低資安攻擊機會。

三、資訊安全暨個資保護政策:

建依據本公司「個人資料檔案安全維護管理辦法」、「資訊安全暨個資保護小組設置要點」及資訊安全管理系統(ISMS)ISO/IEC 27001:2013四階文件,等相關辦法執行。

「資安管理暨個資保護小組」每年至少召開一次管理審查會議,審查年度資安計畫執行情形及資安異常狀況,並依據風險評估報告擬訂次年度資安計畫,以達成企業永續經營目標。

對外:防杜資安攻擊事件,已透過防火牆、入侵防禦、郵件過濾、防毒軟體資安防護工具強化防護能力,定期辦理資安弱點掃描,了解資訊設備弱點並予以補強。為加強安全防護,114年增購電子郵件稽核軟體及電腦應用程式安裝控制軟體,降低資安攻擊機會。

對內:加強員工資安意識,持續辦理資安案例宣導,定期舉辦資安教育訓練,不定期實施社交工程演練為本公司資訊安全重點工作。

資訊安全風險管理與持續改善架構圖

圖二 資訊安全風險管理與持續改善架構圖

(一)資訊安全之目標:

為維護本公司資訊資產之機密性、完整性與可用性,並保障使用者料隱私之安全,各項資訊需經授權才可存取,以確保其機密性,且避免未經授權的修改,以確保其正確性與完整性。

(二)資訊安全之範圍:
  1. 人員管理及資訊安全教育訓練。
  2. 電腦系統安全管理。
  3. 網路安全管理。
  4. 系統存取管制。
  5. 系統發展及維護安全管理。
  6. 資訊資產安全管理。
  7. 實體及環境安全管理。
  8. 資訊系統永續運作計畫管理。
  9. 資訊安全稽核。
(三)資訊安全的原則及標準:
  1. 為有效落實資安管理,本公司依據資訊安全管理系統(ISMS)ISO/IEC 27001:2013規範,制定本公司資訊安全管理相關四階文件。
  2. 依據「電業與公用天然氣事業及加油站業個人資料檔案安全維護管理辦法」制訂「個人資料檔案安全維護管理辦法」。
  3. 本公司管理辦法「資訊安全暨個資保護小組設置要點」。
  4. 「資安管理暨個資保護小組」每年至少召開一次管理審查會議,審查年度資安計畫執行情形及資安異常狀況,並依據風險評估報告擬訂次年度資安計畫,以達成企業永續經營目標。
  5. 為使系統服務不中斷,訂定業務永續運作計畫,以確保本公司業務服務之持續運作。
  6. 不斷向同仁重申資訊安全與個資保護的重要性,對於違反資安或個資規範之行為,將依公司獎懲規定議處;若涉及法律責任,則依相關法規究責。
  7. 對於保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程,均依「個人資料保護法」、「個人資料保護法施行細則」與「電業與公用天然氣事業及加油站業個人資料檔案安全維護管理辦法」要求辦理。
四、資訊安全具體管理方案:
項目 具體管理措施內容
防火牆防護 防火牆設定連線規則。
如有特殊連線需求需額外申請開放。
防毒軟體 使用防毒軟體,並自動更新病毒碼,降低病毒感染機會。
安裝控制軟體 增購電腦應用程式安裝控制軟體,封鎖不明的安裝程式。
作業系統更新 作業系統自動更新,因故未更新者,由資訊單位協助更新。
郵件安全管控 有自動郵件掃描威脅防護,在使用者接收郵件之前,事先防範不安全的附件檔案、釣魚郵件、垃圾郵件,及擴大防止惡意連結的保護範圍。
個人電腦接收郵件後,防毒軟體也會掃描是否包含不安全的附件檔案。
增購電子郵件稽核軟體,加強防護。
資料備份機制 重要資訊系統資料庫皆設定每日備份。
重要檔案上傳伺服器 公司內各部門重要檔案存放於伺服器,由資訊單位統一備份保存。
五、資安及個資執行情形
(一)為強化實體資訊設備防護能力,本公司近年已陸續更新防護工具及硬體主機,民國114年投入之資源概296萬元:
  1. 業務永續運作環境建置:透過專業備份軟體,將公司重大系統持續予以備份並妥善存放,並建置「業務永續運作」實務演練環境,與正式環境區隔。
  2. 資安快篩健檢:針對全公司個人電腦及資訊機房主機辦理系統檢測,確認是否有潛在威脅。
  3. 個人電腦更新:汰換無法使用Windows 11作業系統之電腦。
  4. 電子郵件社交工程演練:為提昇同仁資安意識,持續辦理社交工程演練及全體員工教育訓練。
  5. 資訊安全專業職能提升:派員參與網路防火牆系統管理員訓練課程、ISO27001-主導稽核員認證課,並取得認證。
(二)114年度未發生重大資通安全事件。
  1. 召開資訊安全暨個資保護小組審查會議1次。
  2. 辦理外部承攬商及內部個資盤點及風險評鑑各1次。
  3. 辦理全體員工共190人次教育訓練2次,每場次1小時。
  4. 每月辦理1場資安個資案例宣導,每場29人次。
  5. 資安個資宣導及公告245次。
  6. 同仁資安及個資內部查核共8次。
  7. 系統還原演練4次。
  8. 內部資安及個資稽核1次。
  9. 社交工程演練2次, 每次受測人數概200人,施予教育訓練複訓1次,共13人次。
  10. 增訂內部控制制度「個人資料保護控制作業」。
  11. 修訂內部控制制度「資訊處理循環」條文。
六、緊急通報程序
緊急應變通報流程圖

圖三 緊急應變通報流程

發布日期:2025-12-17 更新日期:2025-12-04