內控制度與資通安全

 

內控制度

本公司訂定之『內部重大資訊處理作業程序』第六條明確規定本公司之董事、經理人及受雇人不得向知悉本公司內部重大資訊之人探詢或蒐集與個人職務不相關之公司未公開內部重大資訊,對於非因執行業務得知本公司未公開之內部重大資訊亦不得向其他人揭露。 相關內容請參閱「重要公司文件」。

本公司內部控制制度已訂定防範內線交易之管理作業程序,並禁止公司董事或員工等內部人利用市場上無法取得的資訊來獲利。

本公司平均每月至少一次對董事、經理人等內部人進行相關法令等之宣導與常見違規案例之提醒。對於新任董事、經理人等於就任2日前或就任日時提供相關宣導資料,其內容包括重大訊息之保密作業,內線與短線交易等之股份買賣限制與罰則及常見違規案例提醒等。

本公司對於新就任內部人已依前述作業程序落實提供宣導資料、且就現任內部人每月提供注意事項提醒,另視需要或法規修訂時,亦不定期提供相關宣導資料。

本公司另訂有「道德暨誠信手冊」、「員工道德管理辦法」,以規範要求全體同仁在從事日常工作及執行業務時,恪守公司誠信道德之標準,並開辦反托拉斯課程,以確保同仁相關規範,避免發生違法之情事。

反托拉斯課程辦理:

  日期 對象 完訓率 說明
實體課程 2019 Q2 廠處級()以上主管 100%  
線上課程 2019 Q4 其他間接人員 99.4% 未訓人員:長假人員

 

資通安全

1. 資訊安全委員會

本公司設立資訊安全委員會推動資訊安全管理作業。委員會由執行長擔任主任委員,各單位一級主管擔任委員,定期召開會議制定並檢討資安政策與管理目標,資訊與人力資源單位主管擔任執行幹事,於會議說明政策執行進度與成效;另納入稽核單位,支援程序與法規面之參考意見。

2. 資訊安全政策及目標

本公司資訊安全政策為「保護公司智慧財產,全面提升資安意識」。除了每季資安會議與定期資安宣導外,同步將資訊安全政策目標,以SOP規範納入文件管理體系,也參考ISO27001NIST資訊安全框架,具體化於組織運作流程,落實資訊安全政策;以保護公司智慧財產與利益及客戶資料,強化資訊安全事件應變能力以達成資訊安全政策衡量指標。

3. 資訊安全執行成果

「保護公司智慧財產」方面,以虛擬桌面管控機敏資料不落地,導入次世代防火牆,定期掃描外部服務漏洞,防毒軟體佈署,員工上網防護,並在輸出設備端:管制行動相機、螢幕浮水印、印表機記錄保存等,強化內部資料散佈管制。

「全面提升資安意識」方面,定期公告資訊安全規定,釣魚信件資安演習,導入大數據分析工具進行稽查,並每年定期及不定期透過內部公告及教育訓練課程等宣導新知以培養員工資安觀念。

4. 資訊安全風險報告

每季資安會議時,揭露全球資安風險趨勢並說明預防對策,在觀念上先建立防護思維;並不定期針對產業資安事件,進行案例分享與內部狀況審視;開放積極的吸收全球資訊安全情報,以因應不斷進化的安全威脅。

5. 資訊安全展望

在瞬息萬變的網路安全威脅中,新興科技的各項創新應用,已衝擊既有資訊安全環境,公司將持續以資訊安全委員會統籌各項資安措施、恪遵法規、提高各單位資訊安全管理能力、定期審視資安文件規範,以精進資訊安全政策與目標,確保公司營運系統之高可用性及保障公司營業秘密。

6. 本公司108年度未發生影響公司營運重大資安與網路攻擊事件。

7. 本公司稽核計畫包括資通安全稽核,已依法令規定定期稽核遠端作業及防火牆系統管理作業合理性等,並將執行成果每年定期向董事會報告。