資通安全風險管理
2025年資通安全風險管理架構之建置及其執行情形
資通安全風險管理架構
南寳樹脂於2021 年設立「資訊安全委員會」,負責執行資訊作業安全管理規劃,建置與維護資訊安全管理體系,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核。資訊安全委員會由執行長擔任召集人,資訊部郭沛益協理擔任資訊安全長暨執行秘書,並由公司內各功能單位最高主管擔任委員會成員。另也成立「資訊安全稽核小組」及「資訊安全執行小組」,專責公司資訊安全及實體安全規劃與相關稽核事項,亦主導此委員會運行。
資訊安全委員會職責如下:
• 資訊安全管理委員會負責制定資訊安全管理政策及管理辦法,定期檢討修正。
• 資訊安全管理委員會定期召開檢討會議,確保管理機制之運行順暢,並每年定期向董事會報告。
• 資訊部下設資訊安全長及資安主管、人員,統籌所有資安相關政策、推行、及資安防禦架構的規畫建置。
資通安全政策
本公司之資訊安全政策適用於本公司及海內外子公司,並以下列指導原則為核心:
• 強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性
• 提供本公司資訊業務持續運作之資訊環境
• 符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅
本公司已導入並建立完整的資訊安全管理系統(ISMS, Information Security Management System),於2022年取得ISO 27001:2013認證,並於2025年通過ISO 27001:2022改版認證,目前證書之有效期為2025年07月22日至2028年07月22日。從系統面、技術面及程序面降低企業資安威脅,建立符合客戶需求的資訊安全保護環境,並不斷落實「規劃、執行、查核與行動」(Plan-Do-Check-Act)的管理循環機制以持續改善。
具體管理方案
為達資安政策與目標,本公司建立「資訊安全防護地圖」採取積極資訊安全強化作業,透過導入次世代防火牆、入侵防禦系統、惡意郵件過濾、作業系統更新、防毒軟體佈署、機密文件加密及端點設備連線管控等安全防禦機制,建立網路分層阻隔機制,依據不同用途之網路服務,各自隔離獨立,並定期更新、修補作業系統及應用程式漏洞,針對重要資料文件落實異地備份,以防堵外部網路攻擊入侵公司內部時造成全面危害。
透過內部之風險管理機制,評估資訊系統相關風險,並定期於經營管理會議報告風險控制及改善狀況,以控制及降低相關網路風險。
每年透過資訊安全教育訓練課程的進行,提升同仁資訊安全意識,另定期以電子郵件方式宣導資安政策及資訊安全知識,以及不定期於週會舉辦專題演講,以降低員工錯誤點擊惡意郵件之風險,定期更新、修補作業系統及應用程式漏洞,重要資料文件落實異地備份。
投入資通安全管理之資源
² 資通安全認證:
• 2025年6月通過ISO 27001:2022資訊安全改版認證。
• 子公司越南南寶持續於2025年取得ISO 27001:2022複核認證。
² 教育訓練:
• 2025年總部新進員工48人全數完成1小時資訊安全職前教育訓練課程。
• 資安主管及資安人員已於2024年12月21日及2025年2月27日各自取得「2024年上市(櫃)公司資安人員資通安全影音課程」完訓證書,並預計於2026年5月31日前完成證交所舉辦之「2025年上市(櫃)公司資安人員資通安全影音課程」。
² 資安宣導:
• 2025年每月發送2次電子郵件公告資安政策及資訊安全規定宣導,並不定期發送近期資通安全事件實例參考。
• 2025年3月12日週會安排「資安常識宣導」專題講座,傳達資安防護重要規定與注意事項,共計356人次參與,時長為89小時。
• 2025年12月底執行1次社交工程釣魚郵件測試,演練人數共計500人。
² 客戶滿意:
• 2025年無違反客戶資料遺失之投訴案件。
Ø 本公司已於2025年12月10日召開資通安全委員會,並於2025年12月18日向董事會報告2025年度資訊安全風險管理架構之建置及其執行情形。
|
資安事件管理情形 |
2025 |
|
違反資安事件總數 |
0 |
|
資安事件中,涉及影響客戶個資事件數量 |
0 |
|
受資安事件所影響的客戶總數 |
0 |
|
違反資安事件相關的罰款總額 |
0 |