企业社会责任

信息安全

信息安全管理制度

宝成工业自2013年起建置与导入信息安全管理制度(ISMS),以国际化信息安全规范标准ISO27001为依据,制定符合且适当的信息安全制度文件及控制措施,涵盖信息相关的管理环节,包括政策、组织、人员、实体环境、网络安全、作业管理、访问控制、信息系统开发及维护、资安事件、灾害演练、工厂连网设备数字化安全管理等。

信息安全政策

宝成工业信息安全政策订有下列目标:
(1) 确保本集团商务活动持续运作,保护本集团所提供的信息服务稳定使用。
(2) 确保本集团所保管的信息资产之机密性、完整性与可用性,并保障人员资料隐私。
(3) 建立信息业务永续运作计划,执行符合相关法令或法规要求之信息业务活动运作。

信息安全组织与运作

为提升信息安全管理,宝成工业订定信息安全政策并成立「信息安全管理委员会」,该组织由信息部主管担任召集人,负责主导信息安全治理、规划、督导及推动执行并统筹信息安全管理等事项之决策与协调,并每年检视信息安全政策与相关规范的适当性。

宝成工业信息安全管理系统运用「规划、执行、检查、行动」(Plan-Do-Check-Act, PDCA)持续改进模式运作,透过完善制度协助管理并倡导及训练培养同仁良好信息安全意识,以降低信息所面临的各种风险与威胁,并建构出全方位的资安防卫能力。

此外,信息部每年进行自我内部查核以确认制度有效性,且公司内部稽核单位亦定期对资安办理状况查核并将成果呈报董事会。

信息安全防御机制

宝成工业针对信息安全防御作业,建立数据、流程、网络、装置与系统等五个面向的安全作业,其中包括数据保密管理、诈骗防范倡导、网络使用安全管制、行动装置安全管控、联机防护管制等行动方案。2018年中评估资安险,考虑其为新兴险种且对公司整体之信息安全架构风险因应效果尚难估算,目前资安目标仍优先强化上述防御作业,作业成效每半年于公司经营管理会议向高层汇报,以有效达成资安风险管控与营运持续的目的。

信息服务流程管理

宝成工业于2014年开始导入信息服务管理流程(ITSM),从需求提出到完成上线,以服务为基础,建立需求管理、事件管理、问题管理、变更管理、组态管理及发布管理等,皆以风险管理为导向,并致力于集团信息客服(Service Desk)整合与客服专业能力,以做好严格的把关。

个人资料保护管理

(1) 宝成工业依个人资料保护法之规定,于人员新进到职当天进行个资搜集告知,并由员工本人亲自签署员工个人资料搜集告知事项
      同意书,以此做为个资搜集依据。
(2) 宝成工业就个人资料之搜集、处理或利用尊重当事人之权利,秉持诚实及信用方法为之,不逾越特定目的之必要范围,并实行
      适当安全措施,防止数据被窃取、窜改、毁损、泄漏等,例:档案室上锁、系统权限管理、人资作业经办权限管理等。
(3) 宝成工业制定员工个人资料管理办法,明确规范公司员工数据管理及维护个人资料隐私权,包含管理原则与数据点收、归档、
      调阅、保存及销毁等。
(4) 宝成工业于工作规则规范员工应保守业务或职务上之机密,包括个人资料及薪酬,倘因职务之关系知悉他人之个资薪酬者,亦
      应保密。