資通安全管理

資通安全管理策略與架構

資通安全風險管理架構

寶成工業自2022年起設置資安長、資安主管及資安專責單位，由資訊部最高權責主管擔任資安長，召集高階主管成立集團資安委員會，針對資通安全管理制度進行支持、監督與決策，並由資安主管、資安專責人員及資訊部各處級單位指派之資安人員組成資安工作小組，負責資安治理、技術、事故處理與稽核等業務推動。

資通安全政策

1. 資通安全政策及目標

寶成工業建置與導入資通安全管理制度(ISMS)，以國際化資通安全規範標準ISO 27001為要求，制定符合且適當的資通安全制度文件及控制措施。資安政策制定之目的為保護資訊服務與資訊資產持續運作環境，免於遭受內外部來自人為、蓄意或意外之破壞，俾利相關人員、活動、事務共同遵循，期藉由全體同仁共同努力以達成下列目標：
(1) 確保商務活動持續運作，保護提供的資訊服務穩定使用。
(2) 確保資訊資產之機密性、完整性與可用性，並保障人員資料隱私。
(3) 建立資訊業務營運持續計畫，對資通安全管理系統定期檢視並持續改善，以反映政府資通安全管理政策、法令、技術、關注方之需要及
      期望、內外部議題與本集團業務之最新狀況，並確保資通安全實務作業之可行性及有效性。

2. 資通安全政策審議及推動

每年定期檢視資通安全政策，蒐集及評估內外部組織、技術及業務、法令或環境等因素之變動，依需求適時予以修訂，並透過PDCA與標準化作業不斷的循環改善，以確保維持有效運作和提供相關服務的能力。

具體管理方案

重新檢視資通安全政策及具體管理方案，在現有的資安防護基礎上，從資通安全應辦事項展開，進行資安精進優化專案的規畫及推動，以期提升資安防護能力。

1. 政策與管理

每年定期檢視相關制度是否符合營運環境變遷、符合法規遵行性要求，並依需求適時調整。並透過PDCA與標準化作業不斷的循環改善，達到健全且有效的流程控制，其作業包含：
(1) 資安制度定期審查
(2) 資產識別與風險管理
(3) 營運持續管理
(4) 人員資安認知與訓練
(5) 供應鏈資訊安全管理
(6) 資安成效評核

2. 技術與防護

為防範各種外部資安威脅，除採多層式網路架構設計外，更建置各式資安防護系統，以提昇整體資訊環境之安全性，其作業包含：
(1) 網路安全防護
(2) 端點與裝置安全控管
(3) 資通系統與應用系統安全機制
(4) 實體與環境安全防護
(5) 資料保護機制
(6) 資安監控與檢測機制

資通安全事件處理與通報

已建置企業風險管理機制與資安事件處理標準程序，明訂相關流程與措施，包含資安事件通報程序、指派負責人員處理重大資通安全事件及評估資安風險可能對公司營運的影響及其因應措施。

資通安全風險變化對公司財務業務之影響及因應措施

在資通技術之風險及管理措施上，除架構集團之網路與資訊系統外，與供應鏈廠商緊密結合，縮短相關訊息傳遞流程，有效改進作業時程以提高營運效率、落實管理科技化，確保能有效控管組織中的資安風險，強化資通安全防護及管理機制。