風(fēng)險(xiǎn)管理

● 策略：營造重視風(fēng)險(xiǎn)管理之經(jīng)營策略與企業(yè)文化，強(qiáng)化風(fēng)險(xiǎn)管理作業(yè)以提升營運(yùn)透明度及保障員工、股東之權(quán)益。

執(zhí)行風(fēng)險(xiǎn)管理制度與運(yùn)作是確保正隆穩(wěn)定營運(yùn)的重要根基。為完善風(fēng)險(xiǎn)管理制度，正隆成立直屬董事會之「風(fēng)險(xiǎn)管理委員會」，所屬七大工作推行小組依循「風(fēng)險(xiǎn)管理政策與程序 」，透過辨識、分析、評量環(huán)境、社會、公司治理各方面風(fēng)險(xiǎn)因子形成之內(nèi)、外部風(fēng)險(xiǎn)，再依據(jù)發(fā)生嚴(yán)重度與可能性計(jì)算出風(fēng)險(xiǎn)等級，省視現(xiàn)有防護(hù)措施是否能阻擋或降低風(fēng)險(xiǎn)，必要時(shí)另擬因應(yīng)對策及確認(rèn)得以有效實(shí)施，並追蹤風(fēng)險(xiǎn)管理改善之成效，確保公司健全經(jīng)營，風(fēng)險(xiǎn)評估之邊界主要以合併公司為主，包含臺灣、中國大陸、越南既有營業(yè)據(jù)點(diǎn)。2024年共召開兩次風(fēng)險(xiǎn)管理委員會會議並提報(bào)董事會。
 
重視氣候變遷風(fēng)險(xiǎn)管理，正隆已於2021年導(dǎo)入「氣候相關(guān)財(cái)務(wù)揭露」（TCFD）倡議，成為臺灣第一家通過TCFD查核且獲得最高評級認(rèn)證之紙業(yè)公司，展現(xiàn)面對氣候風(fēng)險(xiǎn)之適應(yīng)力。重視自然正效益和關(guān)注營運(yùn)對生物多樣性之衝擊，更於2023年簽署支持「自然相關(guān)財(cái)務(wù)揭露」（TNFD），成為TNFD先行者企業(yè)之一，將依循TNFD框架，從治理、策略、風(fēng)險(xiǎn)管理、指標(biāo)與目標(biāo)等四大面向，強(qiáng)化揭露自然相關(guān)風(fēng)險(xiǎn)與因應(yīng)措施。

* 完整內(nèi)容請參考本報(bào)告書 ch4.1 氣候變遷行動TCFD報(bào)告、ch4.6 TNFD生物多樣性 

智慧財(cái)產(chǎn)管理

資安管理

• 1. 完善資安管理制度度，2023 年領(lǐng)先業(yè)界導(dǎo)入 ISO 27001 資訊安全管理系統(tǒng) (ISMS)，並於2024年6月完成 ISO 27001：2022 版本的轉(zhuǎn)版認(rèn)證。未來，正隆將持續(xù)投入資源，遵循 ISO 27001 標(biāo)準(zhǔn)，並結(jié)合公司需求推動技術(shù)創(chuàng)新與管理升級，以打造更安全、可靠的資訊環(huán)境。
• 2. 依據(jù) PDCA 模型進(jìn)行數(shù)位資產(chǎn)盤點(diǎn)與風(fēng)險(xiǎn)評估，檢核資通安全目標(biāo)及相關(guān)措施運(yùn)作，並進(jìn)行改善。總經(jīng)理每季主持 ISO 推行委員會，檢討資訊安全執(zhí)行情況。

提升資安防護(hù)能力

• 1. 強(qiáng)化網(wǎng)路連線、機(jī)房、防火牆、電子郵件 及伺服器的防護(hù)措施，定期檢視資通安全政策及作業(yè)程序，並召開資安專案會議進(jìn)行審查與修訂。
• 2. 提升生產(chǎn)系統(tǒng) (OT) 防護(hù)，採用 USB 掃毒工具檢測惡意程式感染情況。重要基礎(chǔ)設(shè)施（如機(jī)房）設(shè)置門禁管制，記錄人員進(jìn)出，確保實(shí)體設(shè)備安全。

• 1. 建置資安監(jiān)控中心平臺，整合 IT 與 OT 的重要端點(diǎn)資 安設(shè)備資料，集中管理系統(tǒng)日誌，結(jié)合 AI 技術(shù)快速偵測風(fēng)險(xiǎn)、執(zhí)行自動防護(hù)及復(fù)原。並透過MDR (Managed Detection and Response) 外部專業(yè)協(xié)助，實(shí)現(xiàn)全面性、全天候的監(jiān)控分析，有效防範(fàn)病毒及惡意攻擊。
• 2. 積極參與外部資安聯(lián)盟的交流活動與倡議，掌握最新資安趨勢。

• 1. 在內(nèi)部 EIP 網(wǎng)頁設(shè)立資安專區(qū)，並於 News 行動網(wǎng)增設(shè)資安新知，定期分享最新資安報(bào)導(dǎo)與公告。2024 年共發(fā)布 60 多則資安資訊，確保員工掌握最新威脅與防護(hù)措施。此外，亦透過線上課程，期強(qiáng)化資通安全與 AI 安全教育，涵蓋郵件詐騙防護(hù)、個(gè)資保護(hù)及機(jī)敏資料處理等關(guān)鍵議題， 以及行政院公告之《使用生成式 AI 參考指引》，提升員工資安意識與警覺性，有效降低惡意駭客攻擊風(fēng)險(xiǎn)，確保企業(yè)資訊安全。
• 2. 2024 年舉行兩次社交工程演練，結(jié)合 AI 技術(shù)設(shè)計(jì)模擬真實(shí)情境的釣魚郵件（如信用卡盜刷、百貨優(yōu)惠券、政府公文通知等），測試員工對釣魚郵件的警覺性。經(jīng)資訊安全宣導(dǎo)與演練，第一次與第二次開信率占總公司的 8% 及 6%，低於標(biāo)準(zhǔn)值，顯示員工資安意識有所提升。
• 3. 與經(jīng)濟(jì)部合作開辦 iPAS 供應(yīng)鏈專班課程，課程內(nèi)容涵蓋「智慧製造」與 「工控資安」進(jìn)行培訓(xùn)，藉此提升供應(yīng)鏈資安防護(hù)能力。課程聚焦於工控資安概念及 IEC62443 工控資安標(biāo)準(zhǔn)，提升產(chǎn)線運(yùn)作的安全意識，並在與設(shè)備供應(yīng)商合作時(shí)，確保資安要求的落實(shí)。此外，透過分組討論與跨部門、跨廠參與，深化內(nèi)外部合作默契。專班不僅提供實(shí)用知識，還促進(jìn)供應(yīng)鏈夥伴與內(nèi)部團(tuán)隊(duì)的互動交流，為未來合作奠定基礎(chǔ)。