風險管理 末雨綢繆
法規遵循
遵循法規要求、合法合規地營運為企業最基本的責任,同時也是永續經營的關鍵,聯華食品持續積極關注相關法規之修訂動態,並配合調整公司內部相關制度與業務運作,以確保各單位實務操作確實符合法規要求,形塑內部良好法規遵循文化,以促進公司健全經營。
因應《個人資料保護法》及國際法遵趨勢,聯華食品於2024 年度強化個人資料保護管理,全面盤點涉及個資之作業流程,確保個資於蒐集、處理及利用各階段均符合相關規範。公司亦建置個資風險評估機制,定期檢視涉及會員、客戶與員工資料之相關風險作業,並持續優化管理流程,以有效降低個資外洩與法規違失之風險。同時,建立完備之個資管理政策、權限控管及應變處理機制,提升整體個資管理效能,並透過定期辦理教育訓練,加強全體員工之法遵意識與實務執行力,2024 年度進行個資法教育訓練,訓練人次共 122 人,訓練時數共 275.75 小時。聯華食品將持續精進個資保護作為,以維護利害關係人資料安全,強化組織之合規韌性。
2024 年聯華食品共發生 5 起裁罰事件,涉及產品資訊與標示、社會與經濟規範、水資源案件及建築法令等面向,惟皆未涉及產品下架、召回或違反產品與服務的健康和安全相關法規,後續亦已完成內部檢討與改善措施。
2024 年裁罰事件
資安防禦
本公司深知資訊安全對企業營運的關鍵性,為了落實資訊安全管理體系的要求,制定了資訊安全政策與組織架構,以保護營業機密,並防止客戶機敏資料洩漏,依據「臺灣證券交易所」發布之「上市上櫃公司資通安全管控指引」制定了「資通安全管理辦法【A2IM002】」,並成立資安專責單位,督導本公司的資訊安全之管理制度,強化技術標準並維持公司業務運作。
資通安全權責單位為資訊處,負責全面的資訊安全管理。設置資安專責主管,由資訊處長兼任,統籌資通安全政策與資源調度,並定期報告資訊安全狀況。
資訊安全實施措施:全面防護與應對
為強化資訊安全與支援數位轉型,公司於 2024 年完成多項資安與系統升級措施。
首先,完成企業電子郵件與內網 平台 (Exchange Online 與 SharePoint) 導入Microsoft Office 365,並實施多因子驗證 (MFA),確保員工於公司外部登入系統時之身分安全。全公司會議室亦全面升級 Teams 整合視訊會議設備,提升溝通效率與遠端協作品質。
為強化網站效能與防禦外部威脅,導入 Akamai CDN 服務,不僅加快網站存取速度、降低頻寬負載,更具備下列三大資安功能:
- 比對 DNS 查詢風險情報,阻擋員工連線至惡意網域。
- 所有網站流量均經清洗過濾,有效防禦 DDoS、殭屍網路及腳本攻擊。
- 阻擋高風險指令碼與自動化攻擊工具,提高網站存取安全。
此外,依據「資訊管理辦法」,資訊處與人資處合作製作「電腦操作環境介紹及資安宣導」教材,於新進人員教育訓練時進行,並定期舉辦「資訊安全宣導」教育訓練課程。2024 年度共訓練 207 人次,累計 608.23 小時,強化同仁資安意識與操作行為。
透過制度、技術與教育三大面向,公司持續強化資訊安全管理,確保營運穩定與數位服務安全。
本公司深知資訊安全對於企業運營和發展的重要性保障公司業務的持續穩定運作,為實現這一目標,本公司依據 NIST CSF 2.0 網路安全框架,建立了一系列具體且有效的措施,涵蓋識別、保護、偵測、回應、復原及治理六大核心功能。這些措施能有效應對資訊安全挑戰,提升本公司的整體安全水準,確保在面對各種威脅時依然能穩步前進。以下是我們採取的主要措施:
成效驗證與成果說明
1. 弱點掃描與入侵測試
2024 年展開系列弱點掃描和入侵測試,以全面評估和鞏固公司網站的安全性。我們對公司官網、E 購網和 KGCHECK 網站進行了詳細檢查,並根據測試結果採取了多項改進措施,這些測試不僅幫助我們發現並修復了潛在風險,也進一步鞏固了網站的整體安全性。
風險說明及改進建議
所列各項風險與網站加密機制及消費者端瀏覽器版本有關,為確保消費者使用各版本瀏覽器均能順暢瀏覽本公司官網,計劃已導入 Akamai CDN 網路服務及應用程式防火牆,以抵禦各項網站攻擊。
註:因弱點掃描時暫時性關閉 AP Firewall,有關「中風險」問題經開啟 AP Firewall 後已不再出現!
2. 社交工程演練結果與強化員工資安意識
2024 社交工程演練狀況如下,後續除了對全公司進行資訊安全教育訓練提高員工資安意識方面外,並針對連結觸發及開啟附件之同仁額外進行資安意識強化宣導,加強同仁對潛在資安威脅的識別能力。為提升全體員工的資安知識,本公司定期發行雙月刊,內容涵蓋電腦操作技巧、駭客攻擊手法及案例分析,透過資安知識的普及,有助於同仁辨識和應對潛在資安威脅。
說明
- 第一次演練時間 2024/5/1~2024/5/30,演練完成後於 2024/9/26、2024/10/17 執行資安教育訓練及相關宣導。
- 2024/10/29~2024/11/12 進行第二次社交工程演練。此階段演練時同仁觸發信件比率明顯減少。
3. 同步提升資訊安全與網路效能
為提升各廠辦區域內網路速度及穩定性,以及改善 Teams 視訊會議、電子郵件、YouTube 和雲端硬碟 (OneDrive) 等網絡服務的速度,本公司導入了多條電信線路的應用部署和流量控管設備 (FortiGate SD-WAN 軟體定義網路 )。我們將原本集中於總公司的 Internet 上網控管方式,改為各廠辦依白名單分散流量上網。
同時導入流量控管 (FortiGate SD-WAN 軟體定義網路 ) 之專業防火牆設備,再結合 Akamai ( 阿卡邁 ) 內容傳遞網路 CDN (Content Delivery Network) 服務,服務加快Web 存取速度,減少頻寬需求;檢查同仁 DNS 網域查詢、即時進行網域風險威脅情報比對,阻止員工存取惡意的網域或服務;所有流量訪問網站前務進行流量清洗檢查,幫助公司網站抵禦 DDoS、惡意的爬蟲、殭屍網路、網頁腳本威脅偵測及指令碼型攻擊等應用程式之攻擊,不僅增強了網絡服務的穩定性和速度,也顯著提高了各項業務操作的效率,實現了資安與網路效能的雙重保障。
4. 強化網路運作透明度與資安防護
導入了網路設備流量及 Log 分析系統 (N-Reporter),此系統能協助 IT 人員全面掌握網路環境中各個設備的運作狀況。通過追查設備事件記錄 (Log),我們可以及時發現系統異常,分析內部使用者的網路行為。當網路問題發生時,N-Reporter 能夠幫助 IT 管理人員快速查明原因,進行有效的資安防護和內部維運控制,大幅提升整體防護效益。
針對重要伺服器安裝了 CrowdStrike 端點檢測和回應 (EDR) 軟體,並在各使用者端電腦上部署了微軟 Defender 或 SentineOne 先進端點保護軟體。這些措施能有效預防已知和未知的威脅,避免端點電腦感染。通過阻斷惡意軟體、入侵行為和勒索軟體,我們確保將端點感染率降至最低,保障了企業的網路安全。
5. 強化特權帳號管理與資料安全
導入了 CyberArk 特權帳號管理軟體,以規範高權限帳號的使用時機和操作監控,並對應用系統帳號的使用地點及權限進行盤點。此軟體能自動化定期修改帳號密碼,有效管理客戶所提供的電子商務網站密碼。通過 CyberArk 代理登入機制,員工無需保管客戶網站密碼,且只能在內網進行登入操作,進一步強化資料安全性,2024 年持續管控 59 個網站,確保敏感資訊的安全和系統的完整性。
6. 提升數位通訊與雲端應用的安全保障
因應社群通訊軟體 ( 如 Line、Wechat、WhatsApp) 及雲端硬碟 ( 如 Google Drive、OneDrive) 等功能在商業應用上的普及,本公司導入了全方位端點防護系統 (IST)。該系統能有效控管員工使用上述軟體的功能及資料傳送去向,確保企業資訊的安全性和傳輸資料的完整性。我們致力於在提供便利的同時,維持高標準的資訊安全,保障公司的數位資產。
智能運用促進效益:數據監控、智慧製造與生產自動化升級
聯華食品持續推動基於微服務架構的 IoT 數據中台建置,2024 年整合桃園、嘉義兩廠廠務設施 ( 如水電、溫濕度、瓦斯 ) 及部分產線生產數據,串接 ERP 與各小型 SCADA 系統,桃園廠亦導入無線數據收集技術,機動監測收集指定設備數據,並相關資訊於看板即時呈現,實現生產資訊與設備運作即時監控,強化管理效率,同時系統化蒐集 ESG 相關數據,提升資訊透明度與資安韌性。
為提升生產效率與節能降耗,中壢與彰化廠導入智能煮飯機及中壢廠導入三角飯糰自動整列設備,並於產線採用線上降溫專線化作業,嘉義廠則完成自動裝盒機導入,減少不必要的製程浪費,達成省人省力智能化生產目標。聯華食品持續推動智慧製造與數位轉型,打造高效、低碳、永續的生產體系。
風險因應
聯華食品面對全球氣候、經濟、金融、油價、政治等各方面急速變化,公司營運受到衝擊與挑戰也日益複雜,因此從日常營運中依重大性原則辨識可能影響企業永續發展的相關營運風險,擬訂風險管理策略與因應措施,以降低營運中斷的可能性。目前針對特定事項或重要風險由各執行及負責單位進行辨識、評估、篩選,並擬定因應策略之相關計劃,定期進行監督追蹤以達持續改善,落實 PDCA 循環式品質管理加強風險管理作業。此外,稽核處透過風險評估及法令規範,擬定年度稽核計畫,藉由稽核計畫之落實執行,持續確認各項內控制度對潛在風險控管之有效性,並定期將查核結果呈報審計委員會及董事會。
近年來國內食安事件頻傳,食安風險管控相對重要,聯華食品為加強食安風險辨識與預防,各事業部結合各廠專業菁英,藉由跨部會成立食安小組,定期召開食安會議並針對法規變動、供應商評鑑、原物料進料品質管控、製程成品監控、標示宣稱、食安新聞及國際管理趨勢進行風險辨識與預防;稽核小組定期內部自我審查,配合外部政府單位、通路商的訪查建議,使風險預防管理更加紮實穩固。
