企業永續

公司治理

資通安全管理

資通安全管理策略與架構

寶成工業由資訊部最高權責主管擔任資安長,召集高階主管成立集團資安委員會,針對資通安全管理制度進行支持、監督與決策,2022年起設置資安主管及資安專責單位,並由資安專責人員及資訊部各處級單位指派之資安人員組成資安工作小組,負責資安治理、技術、事故處理與稽核等業務推動。並定期進行資安稽核及持續強化員工資安意識,以推動資訊安全管理制度的正常運作,確保資訊安全制度能與時俱進。

資通安全政策
1. 資通安全政策及目標

寶成工業自2013年起建置與導入資訊安全管理制度(ISMS),以國際化資訊安全規範標準ISO 27001為要求,制定符合且適當的資訊安全制度文件及控制措施。資安政策制定之目的為保護公司電腦資訊業務所管理及使用之資訊資產與系統之持續運作環境,免於遭受內部或外部以及來自人為、蓄意或意外之破壞,俾利相關人員、活動、事務共同遵循,期藉由全體員工共同努力以達成下列目標:
(1) 確保商務活動持續運作,保護提供的資訊服務穩定使用。
(2) 確保保管的資訊資產之機密性、完整性與可用性,並保障人員資料隱私。
(3) 建立資訊業務營運持續計畫,對資通安全管理系統定期檢視並持續改善,以反映政府資通安全管理政策、法令、技術、關注方之需要及
      期望、內外部議題與公司業務之最新狀況,並確保資通安全實務作業之可行性及有效性。

2. 資通安全政策審議及推動

每年定期檢視資通安全政策,蒐集及評估內外部組織、技術及業務、法令或環境等因素之變動,依需求適時予以修訂,並透過PDCA與標準化作業不斷的循環改善,以確保維持有效運作和提供相關服務的能力。

資通安全政策檢討與呈報機制:

具體管理方案

寶成工業積極深化資訊安全與機密資訊保護機制以維護公司競爭力,在現有的資安防護基礎上,遵循國際資安標準與框架,明訂資訊安全政策、程序與規範,持續進行管理制度與技術的強化,以達到公司資訊安全管理的目標。2024年取得ISO 27001國際資訊安全管理認證(效期自2024年10月12日至2027年10月12日),2025年持續通過驗證稽核以確維證書有效性,並進行資安精進優化專案的規劃及推動,以期提升資安風險管控能力。

1. 政策與管理

每年定期檢視相關制度是否符合營運環境變遷、符合法規遵行性要求,並依需求適時調整,透過PDCA與標準化作業不斷的循環改善,達到健全且有效的流程控制。
(1) 資安制度定期審查:依循臺灣證交所及櫃買中心發布之「上市上櫃公司資通安全管控指引」,及參考雲端安全ISO 27017、網路安全
      NIST框架等,進行資安管理制度合規性修訂及強化。
(2) 資產識別與風險管理:確認及識別公司核心資訊保護標的,進行資訊系統的盤點及等級評估,識別及評定關鍵重要系統。針對重要系統
      相關資產進行分級,以利盤查優先採取風險評鑑及處理措施的保護標的。
(3) 資訊委外安全:著重制定與實施採購協議中的資安條款,透過新合約資安條款簽訂,促使廠商積極建構資訊與設備的安全防護觀念。
      持續推動資訊服務廠商資安自我評估,藉由自評表確認執行狀況,一方面宣導集團資安防護要求,也掌握具體實施狀況。
(4) 資安成效評核:為確保資通安全持續精進及績效管理,每年透過資安內部稽核與產安稽核協作來評估集團各資訊單位落實狀況。

2. 技術與防護

鑑於各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提升整體資訊環境之安全性。
(1) 網路安全:如重要系統與網路設備納入監控與異常手機告警訊息、跨國維運需經由申請並監控管制,防火牆與網段區隔、電腦安裝病毒碼
      採自動更新方式,以確保能阻擋最新型的病毒與垃圾郵件。
(2) 裝置安全:如透過行動裝置軟體管理APP與開通已核准設備功能,包含網路連線,確保設備網路連線皆經過認證以避免資料外洩。此外,
      採用端點管控軟體管理使用者電腦,以阻絕不安全的使用行為。
(3) 資通系統安全:推動軟體開發生命週期安全管理,以確保應用程式從開發到維運的每個階段都符合資訊安全要求;並定期對於上線資通
      系統進行弱點掃瞄檢測及進行修補更新,系統使用者身分認證採用多因子驗證機制,確保資通系統的安全性。
(4) 稽核軌跡安全:啟動集中式日誌收集,將重要系統與網通設備集中並建置資訊監控與戰情看板,以掌握資安風險與警訊,包含電腦登入
      狀況、SSLVPN監控。另藉由異常登入分析,確保重要主機運作順暢與有效防範惡意攻擊。

投入資通安全管理之資源

透過完善制度協助管理以降低資訊所面臨的各種風險與威脅。

1. 資訊資產盤點與營運持續

為確認及識別公司核心資訊保護標的,進行全集團所有資訊系統的盤點及等級評估,針對重要系統的資訊資產之識別、分類分級,並完成風險評鑑及處理措施。另為確保集團重要資訊系統服務的韌性強度,2024年重新評估關鍵業務風險,規劃推動製造生產相關重要系統的營運持續計畫,2025年完成計畫的實際演練,強化企業數位韌性,以確保客戶最大權益。

2. 資訊技術與防護

(1) 資料保護作業:透過推動機密資料分級管控措施、高機密性系統權限審查、電子郵件群組重新盤整、定期盤整集團通訊平台的公開群組,
      並通知修改,以確保集團高機密性的系統安全,避免造成營運資訊外洩。
(2) 資安檢測作業:2025年完成台灣及海外重要系統主機弱點掃瞄,及5個重要資訊系統的滲透測試,針對弱點擬定並執行修補計畫,並依
      計畫完成弱點修補,避免駭客攻擊。此外,透過監控與分析及蒐集外部情資進行風險分析,進行特定的惡意外部IP封鎖,並實施相關的
      防護處理。

3. 人員訓練

寶成工業對於新進員工進行資安宣導課程及測驗;為將資安意識普及到全體員工,規劃並實施資安認知訓練,2025年累計24,533人次完成課程並通過測驗;針對在職員工進行1次社交工程釣魚郵件演練,統計郵件開啟率與惡意連線點擊率,針對未通過測試之員工實施強化訓練,以確保人員資安意識及警覺。在強化資安專業及管理的的課程訓練規劃,著重於資訊專責人員的實務操作演練,藉以加深資訊保護與資訊安全管理及技術量能。

資通安全事件處理與通報

寶成工業已建置企業風險管理機制與資安事件處理標準程序,明訂相關流程與措施,包含資安事件通報程序、指派負責人員處理重大資通安全事件、評估遭受之損失及進一步的必要因應措施、評估資安風險可能對公司營運的影響及其因應措施。

資通安全風險變化對公司財務業務之影響及因應措施

在資通技術之風險及管理措施上,除導入電子化作業系統、並架構集團之網路資訊系統外,並與上下游產業緊密結合,縮短相關訊息傳遞流程,有效改進作業時程以提高營運效率、落實管理科技化,確保能有效控管組織中的資安風險,強化資通安全防護及管理機制。