资通安全管理

资通安全管理策略与架构

资通安全风险管理架构

宝成工业自2022年起设置资安长、资安主管及资安专责单位，由信息部最高权责主管担任资安长，召集高阶主管成立集团资安委员会，针对资通安全管理制度进行支持、监督与决策，并由资安主管、资安专责人员及信息部各处级单位指派之资安人员组成资安工作小组，负责资安治理、技术、事故处理与稽核等业务推动。

资通安全政策

1. 资通安全政策及目标

宝成工业建置与导入资通安全管理制度(ISMS)，以国际化资通安全规范标准ISO 27001为要求，制定符合且适当的资通安全制度文件及控制措施。资安政策制定之目的为保护信息服务与信息资产持续运作环境，免于遭受内外部来自人为、蓄意或意外之破坏，俾利相关人员、活动、事务共同遵循，期藉由全体同仁共同努力以达成下列目标：
(1) 确保商务活动持续运作，保护提供的信息服务稳定使用。
(2) 确保信息资产之机密性、完整性与可用性，并保障人员资料隐私。
(3) 建立信息业务营运持续计划，对资通安全管理系统定期检视并持续改善，以反映政府资通安全管理政策、法令、技术、关注方之需要及
      期望、内外部议题与本集团业务之最新状况，并确保资通安全实务作业之可行性及有效性。

2. 资通安全政策审议及推动

每年定期检视资通安全政策，搜集及评估内外部组织、技术及业务、法令或环境等因素之变动，依需求适时予以修订，并透过PDCA与标准化作业不断的循环改善，以确保维持有效运作和提供相关服务的能力。

具体管理方案

重新检视资通安全政策及具体管理方案，在现有的资安防护基础上，从资通安全应办事项展开，进行资安精进优化项目的规画及推动，以期提升资安防护能力。

1. 政策与管理

每年定期检视相关制度是否符合营运环境变迁、符合法规遵行性要求，并依需求适时调整。并透过PDCA与标准化作业不断的循环改善，达到健全且有效的流程控制，其作业包含：
(1) 资安制度定期审查
(2) 资产识别与风险管理
(3) 营运持续管理
(4) 人员资安认知与训练
(5) 供应链信息安全管理
(6) 资安成效评核

2. 技术与防护

为防范各种外部资安威胁，除采多层式网络架构设计外，更建置各式资安防护系统，以提升整体信息环境之安全性，其作业包含：
(1) 网络安全防护
(2) 端点与装置安全控管
(3) 资通系统与应用系统安全机制
(4) 实体与环境安全防护
(5) 数据保护机制
(6) 资安监控与检测机制

资通安全事件处理与通报

已建置企业风险管理机制与资安事件处理标准程序，明订相关流程与措施，包含资安事件通报程序、指派负责人员处理重大资通安全事件及评估资安风险可能对公司营运的影响及其因应措施。

资通安全风险变化对公司财务业务之影响及因应措施

在资通技术之风险及管理措施上，除架构集团之网络与信息系统外，与供应链厂商紧密结合，缩短相关讯息传递流程，有效改进作业时程以提高营运效率、落实管理科技化，确保能有效控管组织中的资安风险，强化资通安全防护及管理机制。