一、資通安全風險管理架構
本公司於支援中心成立資訊安全專職部門「資訊安全管理部」,設置資安主管及資安專責人員,負責規劃及訂定資通安全政策與資訊安全管理辦法,並參照ISO 27001、CNS 27001資訊安全管理系統標準,執行推動管理辦法,落實並追蹤檢討,對缺失立即且定期改善,以確保政策與管理辦法確實執行;相關執行成果定期呈報公司高層會議,以降低營運風險。
資訊安全管理部為維護公司資通之機密性、完整性、可用性與適法性,避免發生人為疏失、蓄意破壞與自然災害時,遭致資通與資訊資產遭致不當使用、洩漏、竄改、毀損、消失等,影響本公司作業並導致公司權益損害為前提,定期執行資訊安全檢查,並將檢查報告呈送權責主管覆核;並就檢查所提出之發現與問題,予以瞭解、追蹤及覆核改善情形,以確認內外部相關人員與單位,均確實遵循公司資通安全政策與資訊安全管理辦法。
二、資通安全政策
-
訂定資訊安全管理辦法,並確實執行。
-
定期清查非法軟體,以避免使用未經授權之電腦軟體。
-
每日執行電腦機房工作日誌,以確保資通設備及備份正常運作。
-
詳實備份,以落實災害回復及資料庫還原。
-
詳盡登錄機房進出管制記錄,以確保機房實體安全。
-
人員簽署資訊安全切結書,以貫徹員工遵守資安規定。
-
施行機房設備異常記錄、機房設備清單,以確保資通設備嚴格管控。
-
訂定嚴謹災害復原處置流程,以保證資通服務復原時效。
-
落實資訊需求申請,以確實各項資訊作業審查。
-
進行網路群組管制,內、外網路政策區分,以確定存取範圍有所限制。
-
嚴密帳號分權管理,以確保授權存取控制。
-
完整資料銷毀作業記錄,以保障公司機敏資訊不外流。
-
加入資安資訊分享與分析組織,掌握可能的資安威脅與弱點資訊,以提前預防及因應。
-
定期舉辦員工資通安全教育訓練,以提升全員資安意識。
三、具體管理方案
為達成資安政策與目標,建立全面與完整性的資安防護,推行資安管理事項及具體管理方案如下:
-
採用新世代防火牆,並導入國際情資防護資料庫以利協防,每日產出網路攻擊事件報告,以提供資安專責人員及時進行因應措施。
-
使用國際軟體大廠郵件服務系統,保障99.99%服務可用性,並配合防護模組,以保護電子郵件和共同作業,避免零時差惡意程式碼、網路釣魚和商務電子郵件洩露風險。
-
資訊主機及電腦使用進階MDR 防駭軟體,並委由廠商24 小時監控及防護,每月產出資安報告,每季與資安協力廠商檢討近期資安事件。
-
資訊服務除定期備份外,每年針對核心資訊服務執行災難復原演練,以強化資安專責人員遭遇自然或人為災難災害後之處置能力。
-
帳號分權管理,依照人員職務權責做設定,特殊權限須經申請核准備查,並定期變更人員帳號密碼、要求密碼複雜度,以降低風險。
- 定期資安教育訓練,以提升人員資安意識。
- 加入TW-ISAC電腦網路危機處理暨協調中心之資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊。
四、投入資通安全管理之資源
資訊安全已為公司營運重要議題,對應資安管理事項及投入之資源方案如下:
-
專責人力:由專職之企業組織「資訊安全管理部」擔任資訊安全專責單位,設有專職之資安主管1名、資安人員1名,負責公司資通安全規劃、資安緊急應變、資安事件處理、資安技術導入與資安稽核事項,以維護及持續強化資訊安全,並完成上市櫃公司資安專責人力申報作業。
-
資通安全組織架構:
-
客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件。
-
簽署資通安全切結書:所有員工及新進員工皆完成簽署資通安全切結書。
-
資安公告:本年度發佈1次資訊安全宣導,傳達資安防護相關規定與注意事項。
-
資安意識提升:針對全員工同仁,每年進行社交工程攻擊演練,2023年度全體員工172人次參與演練。
-
利用公司線上學習平台及新人到職說明,全面實施資通全安相關教育訓練,2023年度總學習時數達到91.5小時。
為促使本公司員工能秉持不斷創新、改善工作的理念及發揚此風氣,提高員工參與意願,並保障營業袐密及研發成果,維護產業倫理與競爭秩序且重視及累積智慧財產權,以提昇公司競爭力,特定「智慧財產權管理辦法」以資遵循。
專利保護與管理
本公司配合各項技術研發專案進行專利佈局,以提昇公司的產品價值及獲利能力。除了將專利分為開發研究、專利提案、專利核准、推廣運用、效益評估等階段,對專利提案人給予獎金鼓勵,並列為員工績效評估之參考,以刺激專利提案;同時配合專業的專利法律事務所協助審核並提出智慧財產權申請文件,以提高智財局核准通過機率。在研發過程中也會針對相關技術委託專利法律事務所進行專利檢索,並進行專利布局,以降低公司侵權之風險。
營業秘密保護與管理
本公司與所有員工均有簽署「聘僱合約書」,其中與保護營業秘密相關之規定如下:
-
員工應以善良管理人之注意義務保管並維護營業秘密之機密性。
-
受僱本公司員工,不得洩露或使用前雇主所有之營業秘密。
-
員工任職期間,所完成之任何與職務有關的營業秘密,均歸本公司所有。
-
員工離職後,仍應遵守保密之義務,不得洩漏任何業務機密,且一年內不得利用本公司之營業秘密,並保留法律追溯及賠償公司損失之權利。
執行情形
2023年主要執行情形如下:
-
每月進行會議檢討可行性技術,將其轉化為專利或營業秘密,以強化本公司智慧財產保護意識及認知,並達成年度智慧財產權KPI目標。
本公司自2019年起開始推動智慧財產權管理計畫,主要執行情形如下:
-
本公司已將智慧財產相關事項於2023年11月6日提報至董事會報告。2023年新增專利共計18件。
智慧財產權的管理與保護
-
為了提升產品的品質與附加價值創造更高的獲利能力,朋億積極進行各項技術、產品的研發來規劃產品之布局。
-
配合專利法律事務所協助檢索相關技術專利避免侵權的風險、審核並協助提出專利申請文件,以提高核准率。
-
為了鼓勵員工積極創新,朋億制定了獎勵制度,藉由多元化的獎勵制度,為公司創造具有高度價值性的智慧財產。
-
管理部門定期對員工進行智慧財產權相關的教育訓練,藉以落實朋億之智慧財產權管理政策。宣導保護智慧財產權是每位員工的責任,同時也鼓勵員工創新。
智慧財產權管理與運用
-
管理:繳費後將證書與單據交給文管中心做列管。
-
運用:用於保護公司智慧財產權,以防他人仿冒與用於商業用途,若有以上情形發生,可向仿冒者提出償與罰鍰。
為針對可能威脅本公司企業經營之不確定因素進行風險管理,本公司於2020年 2月 24日董事會通過【風險管理政策】 ,依照整體營運方針及策略定義各類風險,建立辨識、評估、處理風險及有效監督與檢討之管理機制,以規避或降低風險事件發生對公司之營運衝擊,確保企業永續發展。
風險管理範疇
為打造完善、穩固風險管理架構,本公司辦識風險包括:市場風險、安全衛生風險管理、法律風險、財務風險、資訊安全 風險、 子公司管理風險、氣候變遷 風險 及重大傳染病風險 。
風險組織管理架構
-
董事會暨審計委員會:
董事會為本公司風險管理之最高決策單位,負責核定全公司的風險管理政策、架構以及建立全公司的風險管理文化,對整體風險管理負有最終責任;審計委員會應定期審查公司風險管理程序及督導風險管理整體落實情形,確保風險有效管控,下設有風險管理小組,由總經理擔任召集人。 -
稽核室:
專注於由風險管理單位所界定重大風險之內部稽核工作,同時稽核公司風險管理流程。確認內控制度有效執行及追蹤缺失改善情形,並適時向董事會 匯報。 -
風險管理小組:
風險管理小組總經理室負責全公司風險管理制度之規劃設計、資本配置研議、風險衡量之建置、各項風險控管作業之審查、整合及監控等,並定期向審計委員會及董事會報告。
運作情形
本公司於 2023年 11月6日將風險管理運作情形提 董事會報告,2023年運作情形如下:
風險管理 |
風險項目 |
風險評級 |
行動措施 |
執行成效 |
資訊安全風險 |
網路攻擊、病毒威脅 |
高風險 |
A.增加建立網路防火牆的防禦及檢測。 |
改善防火牆政策,限縮與總公司及子公司之間,內部連接專線可使用的資訊系統存取服務。 |
B.增加數據端點防護軟體。 |
A.導入60套中芯數據MDR威脅偵測與應變服務於數據端點,以防禦未知資安攻擊。 (SentinelOne) |
|||
B.完成佈署MDR產品於資訊主機及較高風險電腦。 |
||||
C.進行現有核心系統做弱點掃描。 |
A.完成委任中芯數據規劃並執行核心資訊系統弱點掃描。 |
|||
B.預計年底前完成已檢測出可改善項目並進行改善。 |
||||
環安衛風險 |
工地發生重大職災,影響進度與公司聲譽 |
高風險 |
A.加強工地現場稽核。 |
A.截至2023/10/15進行6次工地現場稽核。 |
B.加強對新進工安2名執行 ISO 45001訓練。 |
||||
B.檢討環安衛機制是否需改進及加強教育訓練與宣導。 |
A.修訂QS-G014化學品排酸作業標準,明訂危害化學品教育訓練規範,於每月會議上向同仁宣導。 |
|||
B.每季向同仁及承攬商宣導職業安全衛生委員會之會議記錄及注意事項。 |
||||
C.執行高風險作業教育訓練:化學品緊急應變演練(34人)、化學品排酸/拆管(23人)、化學危害通識+擦拭布訓練(40人)、局限空間危害(11人)。 |
||||
現場對高風險作業之危害認知不足 |
偏高風險 |
強化重複違規之協力廠商增加教育訓練,針對累犯且不積極改善在供應商評鑑評估低分,隔年不再使用。 |
A.缺失發生隔日工具箱會議,職安人員向當日所有進場人員宣導。 |
|
B.職安人員每月向承攬商宣導,業主廠區當月稽核重點及上月工安缺失,防止再發。 |
||||
C.專案PM每月供應商評鑑,包含評鑑承攬商工安表現。 |
||||
營運風險 |
優秀同仁離職 |
高風險 |
A.積極推動校園招聘,增加建教合作機會,產學合作以辨認好的人才。 |
A.2023年參與北科大、中華大學、明新科大校園徵才,至公司實習共2位實習生,雲科大實習目前正進行招募流程中。 |
B.拜訪學校系所教授、職訓協會,同時參與地方就業徵才。 |
||||
B.內部推薦人才獎勵措施,鼓勵同仁推薦優秀人才。 |
2023年持續實施推薦人才獎勵措施,本年度共有5位被推薦員工,目前皆在職中。 |
|||
C.加強員工對公司認同感,對員工職涯發展溝通與輔導。 |
透過員工滿意度調查、傾聽問卷蒐集員工意見並加以改善:透過勞資會議溝通討論,問卷蒐集到的問題意見皆已回覆並記載於勞資會議記錄供員工參考。 |
|||
D.新進員工關懷。 |
A.以每兩週頻率關心同仁,關心新人工作適應情形,適時給予新人所需之協助,直至升正為止。 |
|||
B.新人對公司整體滿意度有90%,對人資服務滿意度有94%,同時也寄發調查結果給用人單位主管參考。(截至2023年9月) |
||||
關鍵人力盤點 |
高風險 |
A.持續盤點人才,擴充工程管理,研發設計,軟體撰寫等專業人才。積極培養潛力員工,增加教育訓練,加強升遷管道。 |
A.2023年持續針對已提名儲備幹部人員進行培訓規劃,並依進度追蹤訓練執行狀況,未來將持續對儲備人才做培訓管制的提報及管理。 |
|
B.將新進人員、一定年資或晉升人員需要完成的教育訓練項目做為各部門2024年度教育訓練需求的參考。 |
||||
B.積極培養潛力人才擔任PM。 |
落實PM分級制,不同級別提供額外獎勵制度,激勵員工主動積極學習並承擔責任:本年度7月份已統整公司PM人員名單及級別,於員紅計算時額外加發獎勵金,以資鼓勵。 |
|||
財務、市場風險 |
匯率變動 |
中風險 |
定期評估市場資金狀況與銀行利率,專案採購盡量規劃與合同相同幣別,降低匯率風險。 |
每週檢視採購請款金額依不同幣別及預計付款時程,適時結購或結售外幣。 |
應收帳款收款 |
偏高風險 |
A.定期檢討授信評估政策,隨時留意客戶營運狀況及市場資訊。 |
持續留意產業動態及客戶營運狀況,定期檢討專案接單及收款情形。 |
|
B.每月列表、檢討應收帳款收款情形及跟催逾期帳款。 |
每月寄發逾齡帳款明細並請業務跟催貨款進度,截至九月底逾齡尚未收款之金額約NTD163萬,占整體應收為0.91%。 |
|||
銀行額度與可動用資金 |
偏高風險 |
本年度地緣戰爭與景氣不確定性風險,對公司銀行額度控管與可動用資金的評估更需隨時控管。 |
每週檢視已動用及未動用授信餘額,並不定時與業務單位溝通預計接單與動用額度之情形。 |
|
市場風險 |
原物料交期不確定與價格上漲 |
高風險 |
A.投標階段與重要供應商了解原料交期與價格,取得客戶訂單後就跟供應商下訂,並定期追蹤廠商交期。 |
針對長交期閥件,訂單發出後每週固定與廠商開交期追蹤會議。材料價格調整,皆會即時發郵件通知,即時更新成本。 |
B.積極尋找其他合格供應商。 |
A.新增之濃度計替代供應商,經由儀電技術同仁協助共同確認後,正式使用,降低成本約30%。 |
|||
B.新增之吊裝供應商,較既有供應商降低成本約40%。 |
||||
C.適當增加長交期庫存。 |
針對長交期電料及管材預先購入儲備適當庫存量。 |
|||
氣候風險 |
政策法令要求企業進行溫室氣體盤查 |
中風險 |
規劃子公司溫室氣體盤查與驗證時間。 |
A.銳澤於2023年度委託科建管理顧問公司輔導盤查,預計2024年進行查證。 |
B.上海冠禮/蘇州冠禮已委託立恩威顧問公司輔導,預計2024年進行盤查。 |
||||
課徵碳費/能源稅,導致本公司成本增加 |
高風險 |
A.提升能源使用效能。 |
竹北辦公室汰換冷氣機5台、工務所汰換3台。 |
|
B.將節能行動納入公司日常。 |
每月1次,12次/年與不定期做節能減碳之宣導 |
|||
極端氣候:極端降雨使工程延遲與損失 |
高風險 |
工程施作前投保工程綜合險(含天災賠償)。 |
工程施作前申請工程安裝綜合保險(含天災賠償) 並完成投保件數96筆,達成率100%。(截至2023/9/30止) |
- 連絡電話: +886-3-6676868
- 傳真電話: +886-3-6676869
- 電子信箱: IR@novatech.com.tw
- 連絡電話: +886-3-6676868
- 傳真電話: +886-3-6676869
- 電子信箱: IR@novatech.com.tw
- 凱基證券股份有限公司股務代理部
- 100台北市中正區重慶南路一段2號5樓
- 連絡電話: +886-2-23892999
- 傳真電話: +886-2-23891878