風險管理
執行風險管理制度與運作是確保正隆穩定營運的重要根基,本公司董事會負責督導風險治理,2023年底並通過增設風險管理委員會協助董事會監督風險管理系統,包括審視企業風險管理架構與流程,以利辨識及管理風險,並向董事會報告與風險管理有關之重大議題、發現及建議。本公司2023年同步修訂「風險管理政策與程序」,強調正隆對於健全且有效的風險管理系統與文化之承諾,透過整合及管理所有潛在風險,並授權總經理執行風險管理決策,各部門依循風險管理程序,妥善鑑別與管理內外部風險,衡量及分析營運、財務、 氣候變遷等各方面風險因子對公司帶來的衝擊。
重視氣候變遷風險管理,本公司已於2021年導入「氣候相關財務揭露」(TCFD)倡議,成為台灣第一家通過TCFD查核且獲得最高評級認證之紙業公司,展現面對氣候風險之適應力。重視自然正效益和關注營運對生物多樣性之衝擊,本公司於2023年簽署支持「自然相關財務揭露」(TNFD), 成為台灣14家TNFD先行者企業之一,將依循TNFD框架, 從治理、策略、風險管理、指標與目標等四大面向,強化揭露自然相關風險與因應措施。
* 完整內容請參考本報告書 ch4.1 氣候變遷行動TCFD報告、ch4.6 TNFD生物多樣性
風險管理運作情形
2023年12月21日向董事會報告2023年風險管理運作情形如下:
一、依循本公司「風險管理政策與程序」,經營管理階層於每月例會討論相關議題,以執行風險管理決策。
二、資安風險提升落實資安管理,引進嚴謹的資安ISMS管理機制,於8月通過BSI外部稽核,取得核心ERP系統的ISO 27001認證,9月獨立設置資安長管轄資安中心,更積極統籌公司資訊安全政策,除IT資安外再加入OT資安,達成公司更全面完整的資安風險管控。
三、為降低營運風險,已擬具「智慧財產管理計畫」以保護研發成果,並向董事會報告當年度執行情形。
二、資安風險提升落實資安管理,引進嚴謹的資安ISMS管理機制,於8月通過BSI外部稽核,取得核心ERP系統的ISO 27001認證,9月獨立設置資安長管轄資安中心,更積極統籌公司資訊安全政策,除IT資安外再加入OT資安,達成公司更全面完整的資安風險管控。
三、為降低營運風險,已擬具「智慧財產管理計畫」以保護研發成果,並向董事會報告當年度執行情形。
資安管理
重視資訊安全管理,本公司設有資安專責單位以及資安長,並依循「資通安全作業標準管理辦法」,推動各項資訊安全管理業務,建置跨部門、 廠區防火牆機制,即時監控風險漏洞並預防攻擊損害,確保公司營運安全。為強化資安量能,每年持續投入資源,購入資安軟硬體與舉辦資安相關教育訓練,建立完整網路及電腦防護架構,2023年更領先產業導入ISO 27001資訊安全管理系統(ISMS),針對存取控制、資料備份、系統開發、委外廠商管理等制訂具體管理方案,確保資訊資產安全與資訊服務之可用性、完整性及持續性的標準,降低對日常營運之衝擊。2023年本公司並未發生重大資訊安全事件。
2023年資訊安全執行重點:
強化資安管理
1. 完善資安管理制度,於2023年8月通過BSI英國標準協會ISO 27001:2013資訊安全管理系統 (ISMS)驗證。未來,將持續針對查核建議精進改善,並規劃2024年進行ISO 27001:2022轉版。
2. 依據PDCA進行數位資產盤點和風險評估,檢核資通安全目標及相關措施之運作,並因應改善; 總經理每季主持ISO推行委員會,檢討資訊安全執行情形。
提升資安防護能力
1. 加強網路連線、機房、防火牆、電子郵件、伺服器等之防護措施,持續檢視資通安全政策及資訊安全作業程序,定期舉行資安專案會議做必要的審查與修訂。
2. 為提升生產面(Operational Technology, OT)系統防護,採用適用之USB掃毒棒檢測是否遭惡意程式感染。重要基礎設施(如機房)設置門禁管制並記錄人員進出,確保實體設備之安全防護。
建構資安聯防
1. 建立資安監控中心戰情室,監控資安異常行為, 核心系統導入MDR資安端點防護服務,整合IT與OT 重要端點的快速偵測、防護及復原能力,透過外部專業資安協助全面性和全天候的監控分析, 有效防堵並因應病毒與惡意攻擊。
2. 積極參與外部資安聯盟交流活動與倡議,積極掌握資安相關趨勢。
形塑企業資安文化
1. EIP內網建立資安專區,進行宣導及公告,並提供線上課程,協助員工防範及預防郵件詐騙、惡意網站連結等攻擊手段,提升機密安全防護正確觀念。
2. 2023年執行兩次社交工程演練,結合AI技術設計測試信件模擬外部攻擊手法,全體員工平均點擊測 試結果率皆低於目標值。 2023 年 8 月通過 BSI 英國標準協會 ISO 27001:2013(ISMS)驗證