19. Day19：2022年版仁寶電腦永續報告書
    https://www.compal.com/CSR/ZH/download.aspx
    P21
    永續發展委員會組織架構
    資訊安全
    資安訓練宣導
    網路安全
    ISO 27001

P26
議題 策略 2022年目標 2023年目標
公司治理─
隱私與資訊
安全 符合公司與客戶之要求, 持續導入事件辨識、保護、偵測、回應與復原管控機制 臺籍間接人員資安教育訓練完成比例達95% 重要系統可用性>99.44%/每月

P62
資訊安全與隱私
ISO27001資訊安全管理系統
仁寶於2005年通過ISO 27001資訊安全驗證，取得驗證機構BSI英國標準協會所頒發之「資訊安全管理系統ISO 27001」證書，進而逐步擴大驗證範圍，每年兩次定期追蹤，每三年進行重審稽核，持續維持ISO27001的有效認證。驗證範圍涵蓋可攜式電腦產品研發、All-in-One電腦產品研發、車用電子產品研發、伺服器產品研發、行動裝置產品研發、資訊本部、智慧型裝置事業群資訊處以及昆山四個廠區資訊處。2022年2月與9月外稽結果均無不符合事項。

資安政策與組織
仁寶為落實ISO 27001資訊安全管理體系之要求，每年進行兩次內部稽核，訂定資訊安全政策為最高指導原則，維護公司競爭優勢與寶貴的智慧財產，確保產品作業之資訊與資訊系統獲得適當保護，資訊安全之聲明為「確保持續營運、提升客戶滿意度」。2022年未有經證實侵犯客戶隱私或遺失客戶資料之投訴事項。仁寶資安政策如下:
 落實資訊資產風險評鑑。
 維護重要資訊資產的機密性、完整性及可用性。
 藉由Plan-Do-Check-Act(PDCA)管理循環，持續改善資訊安全系統。
 確實遵守客戶合約，保障客戶資訊安全。
 遵循並符合政府資訊安全相關法規規定。
 全體員工及合約委外廠商共同參與。

強化網路安全性
仁寶持續加強資安控制要求，強化公司密碼政策，將原定不可重複使用前3代舊密碼之設定調整至10代。強化公司帳號身份認證機制，導入雙因子認證（two-factor authentication），以增強遠端登入內部資源安全性，杜絕非法使用者存取公司資源或客戶資訊。產品資料依照帳號權限管制存取，登入密碼依公司密碼政策定期變更。持續檢視公司網路安全規畫，落實連結公司網路之所有設備合規性規範。

六大資訊安全目標
 防止資訊服務遭惡意破壞
 重要資料的保護與保存
 資訊安全意識的提升
 滿足公司人員對於資訊服務的需求包含：傳遞資料、執行電子化流程、存放資料
 要求供應商做好資訊安全
 符合法令與合約的要求：避免公司人員觸犯智慧財產權等法令、避免公司人員違反保密合約

資訊安全委員會
資訊安全委員會為仁寶資訊安全相關作業與各項活動之協調與執行組織，設置主任委員與副主任委員各一名，依管理需要得設置委員數名，以本部以上主管為當然委員。另設置執行秘書一人，負責行政事務。資訊安全委員會下設資安執行組，由資訊本部資安小組派員組成，辦理資訊安全的建置、推動、維護、稽核及訓練等作業，並推派一人擔任資安執行組負責人。資委會成果每年一次向董事會報告其執行情形。必要時，資委會可邀請外部資訊安全顧問列席，擔任諮詢工作。
仁寶資訊安全委員會統籌研議資訊安全政策、目標與資源調度等事項，每年兩次召開管理審查會議，確保ISMS資訊安全管理系統持續的適用性、適切性及有效性，維護營運資訊安全並符合國家法令暨主管機關對於資安控管之要求。界定資訊安全管理系統的範圍、執行風險評鑑與風險管理任務、決定可接受之風險水準、議訂資訊安全相關作業中之職務與責任，並協調資訊安全各項管制措施與處理程序。宣導資訊安全政策與資訊安全管理理念，推動公司資訊安全教育訓練。
2022年資訊安全委員會管理審查報告議題內容主要為:
 資安稽核與風險報告(資訊安全績效與趨勢分析)
 內部議題(資安管理辦法更新)
 外部議題(客戶端資安要求)

持續維護資訊安全
為提升員工資訊安全意識，仁寶每月衡量六大資安目標，監督資安管理控制措施。每半年定期執行風險評鑑，藉由資產價值及業務流程進行風險評估，對評估後之高風險進行風險處理措施。定期執行BCP復原演練，確保BCP計畫有效性並符合系統復原目標。為提升員工資訊安全意識，定期執行社交工程演練、資安宣導及教育訓練。

強化資安情資共享
仁寶響應政府發布之「上市上櫃公司資通安全管控指引」，於2022年申請成為台
灣電腦網路危機處理暨協調中心(TWCERT/CC)會員，提升資安事件通報應變能量。

P167
風險控管
持續營運計畫(BCP)
隨著疫情衝擊造成的斷鏈危機過去，劇烈天災發生頻率仍增加，加上地緣政治紛亂、晶片戰爭，替代方案的準備日益重要；仁寶集團為應變不可預測的全球供應鏈變化，根據目標市場及客戶需求，著手區域化、分散化的生產佈局；仁寶集團自2018年起加速亞洲和美洲廠區的投資計劃，除了人員設備，也進行相關供應鏈的分散佈局，帶動研發、生產計劃、物流與設備管理的流程改善，以降低不確定風險，加強企業應變能力，減少對個別地區的依賴度，以提供客戶更多選項、更有彈性的交貨服務。

供應鏈韌性
持續營運計劃是優化客戶服務的承諾，而有良好供應鏈韌性的仁寶集團可以更快速地回應客戶的需求、提昇避免生產中斷、提高企業競爭力與客戶滿意度。具體作為包括：打造數位韌性，強化網絡安全，重視客戶隱私，以zero trust的資安環境來保障企業和客戶資料；透過物聯網(IoT)數位技術，將製造、倉儲、運輸、銷售等產業運籌過程中的各個步驟和資訊整合，並監控每個動作環節，以大數據應用有效管制各廠區人員及物料出入，可整合並提高運籌效率、也保障客戶產品的存貨安全；避免單一供應商的不確定性，配合客戶要求，除與重要供商應
發展戰略合作關係，另導入多源供應商管理對策，從研發階段起即逐步建立替代來源，除了做好成本控制， 也避免依賴單一供應商，確保因應市場變化，提升供應鏈的彈性和韌性。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。