9. Day9：2021年版萬海航運永續報告書
   https://esg.wanhai.com/wanhai/index

P93
4.4 資訊安全
4.4.1 資訊安全管理政策
萬海於2020 年成立資訊安全課，掌管萬海資訊安全相關的業務，持續強化公司整體資訊安全架構，建立多層次、多面向防護，確保異常事件能即時告警並採取應變措施，且無資料外洩疑慮。萬海於2021 年進一步導入MDR　(Management Detect Response)，可確保出現重大資安事件時立即反應、主機防護告警及外部資安評估平台，並強化公司網路存取與控管，於居家辦公期間確保妥善的存取防護，並與總部網路安全規劃整合。
資訊安全課執掌
●　電腦資訊安全政策制定與修訂
●　規劃資訊安全架構
●　協同重大資訊安全事件應變處理
●　資訊安全防禦機制與緊急應變計畫檢視
●　監督資訊安全整體執行情形
●　舉辦資訊安全宣導與教育訓練
●　全天候異常監控
●　同仁資安活動管理（如：無不當存取、定期更換密碼）
2021 年資安演練與培訓
●　舉辦 3次重大資安宣導
●　舉辦 3次社交工程演練
●　新進人員教育訓練
萬海已積極規劃與推動導入ISO 27001 資訊安全管理系統，最快將於2022 年底取得認證，以提供客戶更安全的資料通訊與保護。
營業秘密保護
萬海為有效管理及維護智慧財產，遵循經濟部智慧財產局營業秘密法、商標法、著作權法和專利法，擬定「智慧財產權管理計畫」確保萬海之智慧財產權管理事務有所依循，保護自身權益，並避免侵害他人權益。為使同仁對智慧財產管理有正確的認知、重視研發創新及提升競爭優勢，每年至少一次向董事會報告計畫內容與執行情形。
4.4.2 客戶與員工資訊保護
萬海系統建置多層防護機制並定期更新，包含防火牆、全天候資安監控中心、內部端點入侵偵測服務，以掃描可疑跡象、即時阻斷可疑行為及隔離有毒擋案，阻止災害擴散。使用外部資安防護以防止阻斷式攻擊、可疑IP、偵測異常行為，確保系統無受入侵之虞。依據職務內容設定管理帳號權限，以執行工作所需最小權限為原則；並使用高強度加密通訊協定進行傳輸，確保存取安全與提高防護等措施，避免客戶重要資料外洩。2021 年無客戶個資遺失或被侵犯的資安投訴事件。

P95
資訊安全面
●　SOC監控中心或由工程師通報發生資安事件
●　工程師根據範圍與事件觸發的等級，判定是否為重大資安事故
●　經判斷重要主機被入侵或有擴散跡象則向上通報 IT主管
●　由 IT主管視情節嚴重等級通報總經理室並成立緊急應變小組
●　內部自行處理或聯絡支援廠商到場進行資安事件釐清與協助
●　事故排除與補強並進行後續狀況追踪
●　記錄與結案

圖 9 1 萬海資安事件處理流程

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。