風險管理
執行風險管理制度與運作是確保正隆穩定營運的重要根基,本公司董事會負責督導風險治理,2023年底並通過增設風險管理委員會協助董事會監督風險管理系統,包括審視企業風險管理架構與流程,以利辨識及管理風險,並向董事會報告與風險管理有關之重大議題、發現及建議。本公司2023年同步修訂「風險管理政策與程序」,強調正隆對於健全且有效的風險管理系統與文化之承諾,透過整合及管理所有潛在風險,並授權總經理執行風險管理決策,各部門依循風險管理程序,妥善鑑別與管理內外部風險,衡量及分析營運、財務、 氣候變遷等各方面風險因子對公司帶來的衝擊。
重視氣候變遷風險管理,本公司已於2021年導入「氣候相關財務揭露」(TCFD)倡議,成為台灣第一家通過TCFD查核且獲得最高評級認證之紙業公司,展現面對氣候風險之適應力。重視自然正效益和關注營運對生物多樣性之衝擊,本公司於2023年簽署支持「自然相關財務揭露」(TNFD), 成為台灣14家TNFD先行者企業之一,將依循TNFD框架, 從治理、策略、風險管理、指標與目標等四大面向,強化揭露自然相關風險與因應措施。
* 完整內容請參考本報告書 ch4.1 氣候變遷行動TCFD報告、ch4.6 TNFD生物多樣性
風險管理運作情形
- 2024/06/04召開第一次「企業永續暨風險管理推行會議」。
- 2024/08/08風險管理委員會通過「風險評估結果」,並提董事會報告。
- 2024/11/12召開第二次「企業永續暨風險管理推行會議」。
- 2024/12/24風險管理委員會通過「風險管理執行情形」,並提董事會報告。
資安管理
資通管理重視資訊安全管理,本公司設有資安專責單位以及資安長,並依循「資通安全作業標準管理辦法」,推動各項資訊安全管理業務,建置跨部門、廠區防火牆機制,即時監控風險漏洞並預防攻擊損害,確保公司營運安全。
為提升資安能力,本公司每年持續投入資源,採購資安軟硬體並舉辦資安相關教育訓練,建構完善防護架構。2024年,本公司完成ISO27001:2022資訊安全管理系統(ISMS)轉版認證,針對存取控制、資料備份、系統開發、委外廠商管理等制訂具體管理方案,確保資訊資產安全與資訊服務之可用性、完整性及持續性的標準,降低對日常營運之衝擊。
為提升資安能力,本公司每年持續投入資源,採購資安軟硬體並舉辦資安相關教育訓練,建構完善防護架構。2024年,本公司完成ISO27001:2022資訊安全管理系統(ISMS)轉版認證,針對存取控制、資料備份、系統開發、委外廠商管理等制訂具體管理方案,確保資訊資產安全與資訊服務之可用性、完整性及持續性的標準,降低對日常營運之衝擊。
2024年資訊安全執行重點:
強化資安管理
- 1.完善資安管理制度,於2023年8月通過BSI英國標準協會ISO 27001:2013資訊安全管理系統 (ISMS)驗證,並於2024年6月取得ISO27001:2022轉版認證。依據PDCA進行數位資產盤點和風險評估,檢核資通安全目標及相關措施之運作,並因應改善。
- 2.2023年12月,本公司成立風險管理委員會,設置資訊安全工作小組,負責辨識資安風險並綜合評估現有防護措施。風險管理委員會每年召開兩次會議,根據風險評估結果,制定完整的風險管理計畫與改進措施。此外,風險管理委員會定期向董事會呈報運作情形,確保在瞬息萬變的威脅環境中,有效降低資訊安全風險,維護企業運作的安全性與穩定性。
- 1.加強網路連線、機房、防火牆、電子郵件、伺服器等之防護措施,持續檢視資通安全政策及資訊安全作業程序,定期舉行資安專案會議做必要的審查與修訂。
- 2.為提升生產面(Operational Technology, OT)系統防護,採用適用之USB掃毒棒檢測是否遭惡意程式感染。重要基礎設施(如機房)設置門禁管制並記錄人員進出,確保實體設備之安全防護。
建構資安聯防
- 1.建立資安監控中心戰情室,監控資安異常行為, 核心系統導入MDR資安端點防護服務,整合IT與OT 重要端點的快速偵測、防護及復原能力,透過外部專業資安團隊協助全面性和全天候的監控分析,有效防堵並因應病毒與惡意攻擊。
- 2.積極參與外部資安聯盟交流活動與倡議,積極掌握資安相關趨勢。
形塑企業資安文化
- 1.公司EIP設置資訊安全專區,並定期更新分享最新的資安知識,透過持續宣導與公告提升員工的安全意識。此外,公司亦透過資訊安全教育訓練,全面強化員工在郵件詐騙防護、個人資料保護以及機敏資料處理方面的正確觀念。
- 2.2024年執行兩次社交工程演練,結合AI技術設計常見的信用卡盜刷、百貨優惠券、政府公文通知等,模擬真實的釣魚郵件情境,評估同仁對釣魚郵件的警覺性。演練結果顯示,兩次測試的郵件開信率均低於標準值。