資訊安全

資訊安全

中鼎為因應各類資安威脅，自 2014 年導入 ISO 27001 進行資訊風險管理，致力降低資安風險發生的機率與影響，提升中鼎持續營運能力，並成立資訊安全推動委員會，由總經理擔任主席，代表資訊安全推動委員會每年向董事會報告資安管理成效。該委員會負責資訊安全推動事宜，每年至少召開一次資訊安全管理審查會議，審查資訊安全管理相關事宜，並進行風險評鑑報告及「風險處理計畫」之覆核。

針對資訊安全事項，設有完整的通報流程，由資安推動委員會協助資訊安全推動委員會主席管理資訊安全各項業務。董事會中的席家宜董事為美國哥倫比亞大學電腦科學及工商管理科學碩士，具有 IT（Information Technology）專業背景，針對資安相關事項，可提供其專業建議。另因應資訊安全工作日益重要，並符合金管會第二級上市公司要求，已設立獨立組織實施稽核監理作業。

中鼎了解在資安風險的管理作業上，需要以 PDCA 的做法不斷精進，為確保系統之有效性，更輔以三大項目的推展（擴展技能、啟動變革及共享知識），以確保資安管理的有效性。在擴展技能上，鼓勵資訊專業同仁參與各類型資安講座（如台灣資安大會），並邀請廠商說明最新資安解決方案；在啟動變革上，針對資安風險項目，引進各類控制措施，如 USB 封鎖、數位機敏文件管控、私人無線網路限制、測試區實體隔離等，並加強備份管理與導入外部專家執行資安健診與滲透測試（模擬駭客攻擊）作業，以降低風險發生機率或衝擊；在共享知識上，除實施實體教育訓練外，也將社交工程攻擊及資安重點宣導等課程錄製成數位教材，提供同仁線上學習的機會。

資訊安全風險評鑑

中鼎透過每年的資訊安全風險評鑑作業，從各項可能的威脅與弱點組合中，分析出主要的項目，包含：

資訊安全投入與訓練

中鼎每年持續投入資源於資訊安全事務，包含強化資安防禦設備、改善資安管理制度與教育訓練等，從管理面到技術面整體落實，增進資訊安全能力。對於事件的預防，除了導入外部專家執行資安健診與滲透測試（模擬駭客攻擊）作業、每半年在高雄備援機房執行資訊層面的企業持續營運演練外，針對重要系統資料，每週執行異地備份、保管與測試，以及每年兩次的弱點掃描，皆納入資安例行作業中。

對於近年來盛行的進階持續性威脅（Advanced Persistent Threat, APT），中鼎採取以下管控措施以降低風險發生可能性與影響。

在資安意識的提升方面，每季針對 50% 的同仁進行社交工程攻擊演練，每位同仁一年至少會演練兩次，2022 年共 6,307 人次參與演練，涵蓋率 100%。透過企業內部入口網站，張貼資安相關議題公告，向同仁宣導電子郵件的使用安全，共計 16,452 人次閱讀。另針對設計部與資訊部的系統管理同仁，也全面實施資安相關的教育訓練。各項資安相關訓練參與總時數達到 601 小時，課程包括：認識社交工程攻擊及資安重點宣導、瞭解資訊安全管理準則、資訊資產清單與風險評鑑作業實作指引等。

面對惡意郵件與釣魚郵件日益嚴峻的威脅，加上 COVID-19 疫情爆發期間中鼎員工須透過遠端的方式工作頻率增加。2022 年中鼎持續以符合最新時事內容與偽造系統通知之擬真社交工程電子郵件進行演練，透過演練培養與提高同仁之警覺心。演練結果發現中、高風險之發生率較往年增加。為提醒同仁，針對中、高風險者，要求其主管予以告誡，並暫停網路使用權利及強制實施資安教育訓練，且經測驗合格後才恢復網路使用權利，未完成者則暫停使用權利至完成為止；另對於新進同仁，主動加入資訊安全宣導與辨識社交工程釣魚郵件技巧等課程，以強化全體同仁資安意識。經由定期的社交工程演練與透過企業內部入口網站，張貼資安相關議題公告，向同仁宣導電子郵件的使用安全，同仁利用詐騙郵件通報信箱checkmyemail@ctci.com 協請 IT 判讀可疑郵件數量日益增加，展現了中鼎員工更加重視資訊安全意識的最佳成效指標。