其他

其他

资通安全管理之资讯揭露

一、资通安全风险管理架构

本公司于支援中心成立资讯安全专职部门「资讯安全管理部」，设置资安主管及资安专责人员，负责规划及订定资通安全政策与资讯安全管理办法，并参照ISO 27001、CNS 27001资讯安全管理系统标准，执行推动管理办法，落实并追踪检讨，对缺失立即且定期改善，以确保政策与管理办法确实执行；相关执行成果定期呈报公司高层会议，以降低营运风险。
资讯安全管理部为维护公司资通之机密性、完整性、可用性与适法性，避免发生人为疏失、蓄意破坏与自然灾害时，遭致资通与资讯资产遭致不当使用、泄漏、窜改、毁损、消失等，影响本公司作业并导致公司权益损害为前提，定期执行资讯安全检查，并将检查报告呈送权责主管覆核；并就检查所提出之发现与问题，予以了解、追踪及覆核改善情形，以确认内外部相关人员与单位，均确实遵循公司资通安全政策与资讯安全管理办法。
 

二、资通安全政策

• 订定资讯安全管理办法，并确实执行。
•  定期清查非法软体，以避免使用未经授权之电脑软体。
• 每日执行电脑机房工作日志，以确保资通设备及备份正常运作。
• 详实备份，以落实灾害回复及资料库还原。
• 详尽登录机房进出管制记录，以确保机房实体安全。
• 人员签署资讯安全切结书，以贯彻员工遵守资安规定。
• 施行机房设备异常记录、机房设备清单，以确保资通设备严格管控。
• 订定严谨灾害复原处置流程，以保证资通服务复原时效。
• 落实资讯需求申请，以确实各项资讯作业审查。
• 进行网路群组管制，内、外网路政策区分，以确定存取范围有所限制。
• 严密帐号分权管理，以确保授权存取控制。
• 完整资料销毁作业记录，以保障公司机敏资讯不外流。
• 加入资安资讯分享与分析组织，掌握可能的资安威胁与弱点资讯，以提前预防及因应。
• 定期举办员工资通安全教育训练，以提升全员资安意识。

三、具体管理方案

为达成资安政策与目标，建立全面与完整性的资安防护，推行资安管理事项及具体管理方案如下：

• 采用新世代防火墙，并导入国际情资防护资料库以利协防，每日产出网路攻击事件报告，以提供资安专责人员及时进行因应措施。
• 使用国际软体大厂邮件服务系统，保障99.99%服务可用性，并配合防护模组，以保护电子邮件和共同作业，避免零时差恶意程式码、网路钓鱼和商务电子邮件泄露风险。
• 资讯主机及电脑使用进阶MDR 防骇软体，并委由厂商24 小时监控及防护，每月产出资安报告，每季与资安协力厂商检讨近期资安事件。
• 资讯服务除定期备份外，每年针对核心资讯服务执行灾难复原演练，以强化资安专责人员遭遇自然或人为灾难灾害后之处置能力。
• 帐号分权管理，依照人员职务权责做设定，特殊权限须经申请核准备查，并定期变更人员帐号密码、要求密码复杂度，以降低风险。
• 定期资安教育训练，以提升人员资安意识。
• 加入TW-ISAC电脑网路危机处理暨协调中心之资安情资分享组织，取得资安预警情资、资安威胁与弱点资讯。

四、投入资通安全管理之资源

资讯安全已为公司营运重要议题，对应资安管理事项及投入之资源方案如下：

• 专责人力：由专职之企业组织「资讯安全管理部」担任资讯安全专责单位，设有专职之资安主管1名、资安人员1名，负责公司资通安全规划、资安紧急应变、资安事件处理、资安技术导入与资安稽核事项，以维护及持续强化资讯安全，并完成上市柜公司资安专责人力申报作业。
• 资通安全组织架构：

• 客户满意：无重大资安事件，无违反客户资料遗失之投诉案件。
• 签署资通安全切结书：所有员工及新进员工皆完成签署资通安全切结书。
• 资安公告：本年度发布1次资讯安全宣导，传达资安防护相关规定与注意事项。
• 资安意识提升：针对全员工同仁，每年进行社交工程攻击演练，2023年度全体员工172人次参与演练。
• 利用公司线上学习平台及新人到职说明，全面实施资通全安相关教育训练，2023年度总学习时数达到91.5小时。

---

 

智慧财产管理计划

为促使本公司员工能秉持不断创新、改善工作的理念及发扬此风气，提高员工参与意愿，并保障营业袐密及研发成果，维护产业伦理与竞争秩序且重视及累积知识产权，以提升公司竞争力，特定「知识产权管理办法」以资遵循。

专利保护与管理

本公司配合各项技术研发项目进行专利布局，以提升公司的产品价值及获利能力。除了将专利分为开发研究、专利提案、专利核准、推广运用、效益评估等阶段，对专利提案人给予奖金鼓励，并列为员工绩效评估之参考，以刺激专利提案；同时配合专业的专利法律事务所协助审核并提出知识产权申请文件，以提高智财局核准通过机率。在研发过程中也会针对相关技术委托专利法律事务所进行专利检索，并进行专利布局，以降低公司侵权之风险。

营业秘密保护与管理

本公司与所有员工均有签署「聘雇合约书」，其中与保护营业秘密相关之规定如下：

• 员工应以善良管理人之注意义务保管并维护营业秘密之机密性。
• 受雇本公司员工，不得泄露或使用前雇主所有之营业秘密。
• 员工任职期间，所完成之任何与职务有关的营业秘密，均归本公司所有。
• 员工離职后，仍应遵守保密之义务，不得泄漏任何业务机密，且一年内不得利用本公司之营业秘密，并保留法律追溯及赔偿公司损失之权利。

执行情形

2023年主要执行情形如下：

• 每月进行会议检讨可行性技术，将其转化为专利或营业秘密，以强化本公司智慧财产保护意识及认知，并达成年度知识产权KPI目标。

本公司自2019年起开始推动知识产权管理计划，主要执行情形如下：

• 本公司已将智能财产相关事项于2023年11月6日提报至董事会报告。2023年新增专利共计18件。

 

知识产权的管理与保护

• 为了提升产品的质量与附加价值创造更高的获利能力，朋亿积极进行各项技术、产品的研发来规划产品之布局。
• 配合专利法律事务所协助检索相关技术专利避免侵权的风险、审核并协助提出专利申请文件，以提高核准率。
• 为了鼓励员工积极创新，朋亿制定了奖励制度，藉由多元化的奖励制度，为公司创造具有高度价值性的智能财产。
• 管理部门定期对员工进行知识产权相关的教育训练，藉以落实朋亿之知识产权管理政策。倡导保护知识产权是每位员工的责任，同时也鼓励员工创新。

知识产权管理与运用

• 管理：缴费后将证书与单据交给文管中心做列管。
• 运用：用于保护公司知识产权，以防他人仿冒与用于商业用途，若有以上情形发生，可向仿冒者提出偿与罚款。 

 

---

 

风险管理政策

为针对可能威胁本公司企业经营之不确定因素进行风险管理，本公司于2020年 2月 24日董事会通过【风险管理政策】 ，依照整体营运方针及策略定义各类风险，建立辨识、评估、处理风险及有效监督与检讨之管理机制，以规避或降低风险事件发生对公司之营运冲击，确保企业永续发展。

风险管理范畴

为打造完善、稳固风险管理架构，本公司办识风险包括：市场风险、安全卫生风险管理、法律风险、财务风险、信息安全 风险、 子公司管理风险、气候变迁 风险 及重大传染病风险 。

风险组织管理架构

• 董事会暨审计委员会：
  董事会为本公司风险管理之最高决策单位，负责核定全公司的风险管理政策、架构以及建立全公司的风险管理文化，对整体风险管理负有最终责任；审计委员会应定期审查公司风险管理程序及督导风险管理整体落实情形，确保风险有效管控，下设有风险管理小组，由总经理担任召集人。
• 稽核室：
  专注于由风险管理单位所界定重大风险之内部稽核工作，同时稽核公司风险管理流程。确认内控制度有效执行及追踪缺失改善情形，并适时向董事会 汇报。
• 风险管理小组：
  风险管理小组总经理室负责全公司风险管理制度之规划设计、资本配置研议、风险衡量之建置、各项风险控管作业之审查、整合及监控等，并定期向审计委员会及董事会报告。

运作情形

本公司于 2023年 11月6日将风险管理运作情形提 董事会报告， 2023年运作情形如下：
 

风险管理	风险项目	风险评级	行动措施	执行成效
资讯安全风险	网路攻击、病毒威胁	高风险	A.增加建立网路防火墙的防御及检测。	改善防火墙政策，限缩与总公司及子公司之间，内部连接专线可使用的资讯系统存取服务。
			B.增加数据端点防护软体。	A.导入60套中芯数据MDR威胁侦测与应变服务于数据端点，以防御未知资安攻击。 (SentinelOne)
				B.完成布署MDR产品于资讯主机及较高风险电脑。
			C.进行现有核心系统做弱点扫描。	A.完成委任中芯数据规划并执行核心资讯系统弱点扫描。
				B.预计年底前完成已检测出可改善项目并进行改善。
环安卫风险	工地发生重大职灾，影响进度与公司声誉	高风险	A.加强工地现场稽核。	A.截至2023/10/15进行6次工地现场稽核。
				B.加强对新进工安2名执行 ISO 45001训练。
			B.检讨环安卫机制是否需改进及加强教育训练与宣导。	A.修订QS-G014化学品排酸作业标准，明订危害化学品教育训练规范，于每月会议上向同仁宣导。
				B.每季向同仁及承揽商宣导职业安全卫生委员会之会议记录及注意事项。
				C.执行高风险作业教育训练：化学品紧急应变演练(34人)、化学品排酸/拆管(23人)、化学危害通识+擦拭布训练(40人)、局限空间危害(11人)。
	现场对高风险作业之危害认知不足	偏高风险	强化重复违规之协力厂商增加教育训练，针对累犯且不积极改善在供应商评鉴评估低分，隔年不再使用。	A.缺失发生隔日工具箱会议，职安人员向当日所有进场人员宣导。
				B.职安人员每月向承揽商宣导，业主厂区当月稽核重点及上月工安缺失，防止再发。
				C.专案PM每月供应商评鉴，包含评鉴承揽商工安表现。
营运风险	优秀同仁离职	高风险	A.积极推动校园招聘，增加建教合作机会，产学合作以辨认好的人才。	A.2023年参与北科大、中华大学、明新科大校园征才，至公司实习共2位实习生，云科大实习目前正进行招募流程中。。
				B.拜访学校系所教授、职训协会，同时参与地方就业征才。
			B.内部推荐人才奖励措施，鼓励同仁推荐优秀人才。	2023年持续实施推荐人才奖励措施，本年度共有5位被推荐员工，目前皆在职中。
			C.加强员工对公司认同感，对员工职涯发展沟通与辅导。	透过员工满意度调查、倾听问卷搜集员工意见并加以改善：透过劳资会议沟通讨论，问卷搜集到的问题意见皆已回覆并记载于劳资会议记录供员工参考。
			D.新进员工关怀。	A.以每两周频率关心同仁，关心新人工作适应情形，适时给予新人所需之协助，直至升正为止。
				B.新人对公司整体满意度有90%，对人资服务满意度有94%，同时也寄发调查结果给用人单位主管参考。 (截至2023年9月)
	关键人力盘点	高风险	A.持续盘点人才，扩充工程管理，研发设计，软体撰写等专业人才。积极培养潜力员工，增加教育训练，加强升迁管道。	A.2023年持续针对已提名储备干部人员进行培训规划，并依进度追踪训练执行状况，未来将持续对储备人才做培训管制的提报及管理。
				B.将新进人员、一定年资或晋升人员需要完成的教育训练项目做为各部门2024年度教育训练需求的参考。
			B.积极培养潜力人才担任PM。	落实PM分级制，不同级别提供额外奖励制度，激励员工主动积极学习并承担责任：本年度7月份已统整公司PM人员名单及级别，于员红计算时额外加发奖励金，以资鼓励。
财务、市场风险	汇率变动	中风险	定期评估市场资金状况与银行利率，专案采购尽量规划与合同相同币别，降低汇率风险。	每周检视采购请款金额依不同币别及预计付款时程，适时结购或结售外币。
	应收帐款收款	偏高风险	A.定期检讨授信评估政策，随时留意客户营运状况及市场资讯。	持续留意产业动态及客户营运状况，定期检讨专案接单及收款情形。
			B.每月列表、检讨应收帐款收款情形及跟催逾期帐款。	每月寄发逾龄帐款明细并请业务跟催货款进度，截至九月底逾龄尚未收款之金额约NTD163万，占整体应收为0.91%。
	银行额度与可动用资金	偏高风险	本年度地缘战争与景气不确定性风险，对公司银行额度控管与可动用资金的评估更需随时控管。	每周检视已动用及未动用授信余额，并不定时与业务单位沟通预计接单与动用额度之情形。
市场风险	原物料交期不确定与价格上涨	高风险	A.投标阶段与重要供应商了解原料交期与价格，取得客户订单后就跟供应商下订，并定期追踪厂商交期。	针对长交期阀件，订单发出后每周固定与厂商开交期追踪会议。材料价格调整，皆会即时发邮件通知，即时更新成本。
			B.积极寻找其他合格供应商。	A.新增之浓度计替代供应商，经由仪电技术同仁协助共同确认后，正式使用，降低成本约30%。
				B.新增之吊装供应商，较既有供应商降低成本约40%。
			C.适当增加长交期库存。	针对长交期电料及管材预先购入储备适当库存量。
气候风险	政策法令要求企业进行温室气体盘查	中风险	规划子公司温室气体盘查与验证时间。	A.锐泽于2023年度委托科建管理顾问公司辅导盘查，预计2024年进行查证。
				B.上海冠礼/苏州冠礼已委托立恩威顾问公司辅导，预计2024年进行盘查。
	课征碳费/能源税，导致本公司成本增加	高风险	A.提升能源使用效能。	竹北办公室汰换冷气机5台、工务所汰换3台。
			B.将节能行动纳入公司日常。	每月1次,12次/年与不定期做节能减碳之宣导
	极端气候：极端降雨使工程延迟与损失	高风险	工程施作前投保工程综合险(含天灾赔偿)。	工程施作前申请工程安装综合保险(含天灾赔偿) 并完成投保件数96笔，达成率100%。 (截至2023/9/30止)