永續治理

為強化資訊安全管理，確保資訊資產符合ISO 27001資訊安全管理系統之機密性、完整性與可用性，以杜絕毀損、失竊、洩漏、竄改、濫用與蓄意等風險，維持資訊系統與業務持續運作，並符合相關法令規範與內外部利害關係者之要求，訂定「資訊安全政策」，所有人員皆應確實瞭解此政策，並遵循相關資安管制作業程序與規範。
正文嚴守客戶合約內容與保密承諾，於 ISO/IEC 27001中，為了避免誤觸智慧財產權，制定「辦公室資訊安全管理程序」及「資訊安全管理手冊」，來控管相關業務，並針對可識別之個人資訊的隱私及保護，台灣總部為集團資訊安全中心，將資訊安全政策與執行方式拓展至正鵬(昆山)廠與越南正文廠，並以符合ISO 27001之管理系統精神進行管理。

• 本公司所有內部正式員工、約聘與派遣人員等公司所聘用之人員，皆應清楚且遵循此資訊安全政策與規範。
• 所有人員，均有責任及義務保護其所取得或使用之資訊資產，防止遭未經授權存取、竄改、破壞或不當揭露。
• 員工之工作分派應考量職能分工，職務責任範圍須作適當區隔，僅授予工作所需之必要權限與必要資訊，避免資訊或服務遭未經授權修改或誤用。
• 員工有義務保護公司機敏資訊，禁止未經授權的情況下接觸、使用或將該資訊揭露、告知予業務無關之同仁、廠商與其他客戶。
• 所有人員之個人電腦應安裝防毒軟體且定期更新病毒碼，並禁止於本公司資訊資產上安裝、使用、下載非法或未經授權之軟體。
• 各單位如發生資訊安全事件，應依據資訊安全事件管理程序進行通報。
• 訂定資訊作業營運持續管理程序，重要設備應建置適當之備援或監控機制，並定期測試與演練，確保公司業務持續運作。
• 新系統開發與資訊設備建置前，須將風險、安全因素納入考量，防範危害系統安全之情況發生。
• 制訂資訊安全內部稽核與風險評鑑管理程序，定期進行稽核與資訊資產之風險評估，確保落實各項資安規定，使資安管理制度持續正常運作。
• 任何危害資訊安全之行為，若涉及不法情事者，員工除須受行政處分外，並應自負相關法律責任。

為確保本公司資訊安全管理系統能持續有效運作，正文於2010年成立「資訊安全委員會」，推行及協調各項資訊安全相關事務，由資訊單位最高主管或指派代理人擔任主任委員，定期召開管理審查會議，制訂與檢討資訊安全管理目標及政策，執行符合相關法令之資訊業務活動。

2024年共召開2次審查會議，審查內容包含七項管理審查輸入項目(如：資訊安全管理體系執行之回饋、資訊安全管理體系查核之結果)和三項管理審查輸出項目( 如：組織應保存文件化資訊及管理審查結果的證據)等，並於2024年8月完成ISO 27001：2022轉版導入且完成第三方認證，透過此資訊安全管理系統之導入，有效強化正文資訊安全管理與執行能力，並保護公司與客戶之資產安全。

為持續強化資訊保護行動與網路作業管理，確保網路通訊之安全，特訂定「網路暨通訊安全管理程序」，藉由導入全方位郵件過濾平台，防範郵件防毒、垃圾郵件與釣魚信件等惡意攻擊行為，並推動兩步驟驗證機制，同時使用密碼和同仁持有之手機來確保帳戶安全性，強化帳號安全。正文透過採購高效能虛擬主機與儲存空間，持續合併主機，達到節能減碳效益。網路安全方面，建置內網防火牆，進行網段區隔，強化主機網段之防禦，導入MDR 威脅偵測系統與應變服務，由外部專業資安廠商遠端協防、實施VPN 多因子驗證以防止未經授權人員連入系統，並於官網導入WAF( 應用程式防火牆)，有效防禦DDoS 攻擊，降低被入侵威脅。
此外，採購日誌分析與流量管理系統，進行日誌大數據分析，掌握網路行為與異常軌跡。另一方面，訪客若有網路使用需求，需事先填寫「訪客上網申請單」或「訪客來訪申請單」，經申請後方可取得臨時無線網路帳號密碼，且必須連結至公司指定之訪客專用無線網路區域，不得連結公司內部網路或其他未授權之網路區域。

為降低資訊作業中斷發生之可能性，於資訊作業營運持續管理程序定義復原程序、所需之軟硬體設備及支援設備等，本公司定期辦理營運持續演練(BCP)，演練內容包括系統及資料庫的備份還原、系統服務重置等，主要參與對象為專業資訊人員，2024年各系統災難還原演練共計59次，設置各種衝擊情境，演練成果為確保資訊系統持續營運，以減少損失。
為量測資訊安全所選擇控制措施之有效性，使資訊安全委員會瞭解目前資訊安全管理體系運作之情形，本公司分別訂定月指標、季指標、半年指標及年指標等共計13項資訊安全指標，並每年進行兩次內部管理審查會議及一次外部稽核，確保ISMS資訊安全管理系統持續的適用性、適切性及有效性。
2024年各廠資訊安全指標皆達標，且台灣總部外部稽核中無主、次要缺失。

為提升同仁資訊安全防範意識，各廠區均不定期發布近期資安案例宣導，提醒同仁近期資安事件及注意事項，並辦理資訊安全教育訓練，內容包括資安規範簡介與網路安全等，2024年共辦理19次資訊安全教育訓練，共計460人次參與，共634小時。

• 本公司所有內部正式員工、約聘與派遣人員等公司所聘用之人員，皆應清楚且遵循此個人資料保護政策與規範。
• 個資保存安全性管控：紙本資料以獨立資料袋歸檔，並放置於固定鎖櫃；電子系統依據資訊安全規範，設置權限控管。
• 求職者/在職員工/離職員工有權在合法的前提下，要求公司刪除、查詢、閱覽、補充及更正個人資料，公司不得拒絕。
• 若有發生任何權益受損的事件或情況，可透過公司提供信箱或其他管道進行申訴與舉報。
• 如經調查發現違反本政策或隱私權及個資保護相關適用法規之情事屬實，本公司將嚴懲行為人，必要時依法進行求償或追訴，並盡力避免損害擴張。

正文科技為保障應徵者與員工個人資料之合理使用及保障當事人個資安全及權益，遵循《個人資料保護法》、《個人資料保護法施行細則》等規範制定「個人資料保護政策」，涵蓋對象包含正文集團(台灣總部、正鵬(昆山)廠、越南正文廠)之所有正式員工、約聘與派遣人員等公司所聘用之人員，若有發生任何有關個資權益受損的情況，可透過公司申訴管道進行舉報。

本公司之新進員工於報到當天均須簽屬「個人資料蒐集、處理、國際傳輸、利用以及保護與保密同意書」，且新進員工與在職員工均須均完成誠信經營相關之個人資料保護訓練，2024年度執行率100%。

正文於產品責任上除了通過產品標示與安規認證之外，產品實際運行時之軟體操作上如何確保資訊安全無虞亦為另一個重要課題，正文之產品軟體設計準則包含硬體設計、韌體設計與軟體設計三種，確保產品從設計端、生產端與回收等階段，皆無任何產品資訊安全外洩之情事發生。