企业永续

公司治理

资通安全管理

资通安全管理策略与架构

宝成工业由信息部最高权责主管担任资安长,召集高阶主管成立集团资安委员会,针对资通安全管理制度进行支持、监督与决策,2022年起设置资安主管及资安专责单位,并由资安专责人员及信息部各处级单位指派之资安人员组成资安工作小组,负责资安治理、技术、事故处理与稽核等业务推动。并定期进行资安稽核及持续强化员工资安意识,以推动信息安全管理制度的正常运作,确保信息安全制度能与时俱进。

资通安全政策
1. 资通安全政策及目标

宝成工业自2013年起建置与导入信息安全管理制度(ISMS),以国际化信息安全规范标准ISO 27001为要求,制定符合且适当的信息安全制度文件及控制措施。资安政策制定之目的为保护公司计算机信息业务所管理及使用之信息资产与系统之持续运作环境,免于遭受内部或外部以及来自人为、蓄意或意外之破坏,俾利相关人员、活动、事务共同遵循,期藉由全体员工共同努力以达成下列目标:
(1) 确保商务活动持续运作,保护提供的信息服务稳定使用。
(2) 确保保管的信息资产之机密性、完整性与可用性,并保障人员资料隐私。
(3) 建立信息业务营运持续计划,对资通安全管理系统定期检视并持续改善,以反映政府资通安全管理政策、法令、技术、关注方之需要及
      期望、内外部议题与公司业务之最新状况,并确保资通安全实务作业之可行性及有效性。

2. 资通安全政策审议及推动

每年定期检视资通安全政策,搜集及评估内外部组织、技术及业务、法令或环境等因素之变动,依需求适时予以修订,并透过PDCA与标准化作业不断的循环改善,以确保维持有效运作和提供相关服务的能力。

资通安全政策检讨与呈报机制:

具体管理方案

宝成工业积极深化信息安全与机密信息保护机制以维护公司竞争力,在现有的资安防护基础上,遵循国际资安标准与框架,明订信息安全政策、程序与规范,持续进行管理制度与技术的强化,以达到公司信息安全管理的目标。2024年取得ISO 27001国际信息安全管理认证(效期自2024年10月12日至2027年10月12日),2025年持续通过验证稽核以确维证书有效性,并进行资安精进优化项目的规划及推动,以期提升资安风险管控能力。

1. 政策与管理

每年定期检视相关制度是否符合营运环境变迁、符合法规遵行性要求,并依需求适时调整,透过PDCA与标准化作业不断的循环改善,达到健全且有效的流程控制。
(1) 资安制度定期审查:依循台湾证交所及柜买中心发布之「上市上柜公司资通安全管控指引」,及参考云端安全ISO 27017、网络安全
      NIST框架等,进行资安管理制度合规性修订及强化。
(2) 资产识别与风险管理:确认及识别公司核心信息保护目标,进行信息系统的盘点及等级评估,识别及评定关键重要系统。针对重要系统
      相关资产进行分级,以利盘查优先采取风险评鉴及处理措施的保护目标。
(3) 信息委外安全:着重制定与实施采购协议中的资安条款,透过新合约资安条款签订,促使厂商积极建构信息与设备的安全防护观念。
      持续推动信息服务厂商资安自我评估,藉由自评表确认执行状况,一方面倡导集团资安防护要求,也掌握具体实施状况。
(4) 资安成效评核:为确保资通安全持续精进及绩效管理,每年透过资安内部稽核与产安稽核协作来评估集团各信息单位落实状况。

2. 技术与防护

鉴于各种外部资安威胁,除采多层式网络架构设计外,更建置各式资安防护系统,以提升整体信息环境之安全性。
(1) 网络安全:如重要系统与网络设备纳入监控与异常手机告警讯息、跨国维运需经由申请并监控管制,防火墙与网段区隔、计算机安装病毒
      特征采自动更新方式,以确保能阻挡最新型的病毒与垃圾邮件。
(2) 装置安全:如透过行动装置软件管理APP与开通已核准设备功能,包含网络联机,确保设备网络联机皆经过认证以避免数据外泄。此外,
      采用端点管控软件管理用户计算机,以阻绝不安全的使用行为。
(3) 资通系统安全:推动软件开发生命周期安全管理,以确保应用程序从开发到维运的每个阶段都符合信息安全要求;并定期对于上线资通
      系统进行弱点扫瞄检测及进行修补更新,系统用户身分认证采用多因子验证机制,确保资通系统的安全性。
(4) 稽核轨迹安全:启动集中式日志收集,将重要系统与网通设备集中并建置信息监控与战情广告牌,以掌握资安风险与警讯,包含计算机
      登入状况、SSLVPN监控。另藉由异常登入分析,确保重要主机运作顺畅与有效防范恶意攻击。

投入资通安全管理之资源

透过完善制度协助管理以降低信息所面临的各种风险与威胁。

1. 信息资产盘点与营运持续

为确认及识别公司核心信息保护目标,进行全集团所有信息系统的盘点及等级评估,针对重要系统的信息资产之识别、分类分级,并完成风险评鉴及处理措施。另为确保集团重要信息系统服务的韧性强度,2024年重新评估关键业务风险,规划推动制造生产相关重要系统的营运持续计划,2025年完成计划的实际演练,强化企业数字韧性,以确保客户最大权益。

2. 信息技术与防护

(1) 数据保护作业:透过推动机密数据分级管控措施、高机密性系统权限审查、电子邮件群组重新盘整、定期盘整集团通讯平台的公开群组,
      并通知修改,以确保集团高机密性的系统安全,避免造成营运信息外泄。
(2) 资安检测作业:2025年完成台湾及海外重要系统主机弱点扫瞄,及5个重要信息系统的渗透测试,针对弱点拟定并执行修补计划,并依
      计划完成弱点修补,避免黑客攻击。此外,透过监控与分析及搜集外部情资进行风险分析,进行特定的恶意外部IP封锁,并实施相关的
      防护处理。

3. 人员训练

宝成工业对于新进员工进行资安倡导课程及测验;为将资安意识普及到全体员工,规划并实施资安认知训练,2025年累计24,533人次完成课程并通过测验;针对在职员工进行1次社交工程钓鱼邮件演练,统计邮件开启率与恶意联机点击率,针对未通过测试之员工实施强化训练,以确保人员资安意识及警觉。在强化资安专业及管理的的课程训练规划,着重于信息专责人员的实务操作演练,藉以加深信息保护与信息安全管理及技术量能。

资通安全事件处理与通报

宝成工业已建置企业风险管理机制与资安事件处理标准程序,明订相关流程与措施,包含资安事件通报程序、指派负责人员处理重大资通安全事件、评估遭受之损失及进一步的必要因应措施、评估资安风险可能对公司营运的影响及其因应措施。

资通安全风险变化对公司财务业务之影响及因应措施

在资通技术之风险及管理措施上,除导入电子化操作系统、并架构集团之网络信息系统外,并与上下游产业紧密结合,缩短相关讯息传递流程,有效改进作业时程以提高营运效率、落实管理科技化,确保能有效控管组织中的资安风险,强化资通安全防护及管理机制。