公司治理
秉持誠信正直、專業透明的經營理念 建立完善的公司治理制度
風險管理資訊
資安管理
本公司高度重視資訊安全,建立完善的資安管理制度,確保公司資訊資產的機密性、完整性與可用性,保護客戶資料及營業秘密。
適用範圍
本資安管理制度適用於本公司所有部門、人員及資訊系統,涵蓋範圍包括:
- 公司所有資訊系統、網路設備及相關基礎設施
- 儲存於公司系統之所有資料,包括客戶資料、營業秘密、個人資料等
- 使用公司資訊資源之全體員工、外包人員及合作夥伴
- 與資訊安全相關之實體環境,包括機房、辦公場所等
- 委外處理之資訊服務及雲端服務
資安管理架構
本公司設有資訊安全委員會,由資訊長擔任召集人,定期召開會議檢討資安政策與執行情形。委員會下設資安專責單位,負責資安政策制定、風險評估、事件應變及教育訓練等工作。
資安防護措施
- 建置防火牆、入侵偵測系統及防毒軟體,防範外部攻擊
- 實施身分認證與存取控制機制,確保資料存取權限管理
- 定期執行資安健檢與弱點掃描,及時修補系統漏洞
- 建立資料備份與災難復原計畫,確保營運持續性
- 加密傳輸敏感資料,保護資料傳輸安全
- 實施網路區隔,降低資安風險擴散
資安教育訓練
本公司定期辦理資安教育訓練,提升員工資安意識。訓練內容包括社交工程防範、密碼管理、釣魚郵件識別、行動裝置安全等主題,確保全體員工具備基本資安知識與防護能力。
資安事件應變
本公司建立資安事件應變機制,訂定資安事件分級標準與通報流程。一旦發生資安事件,立即啟動應變程序,進行事件調查、影響評估、損害控制及復原作業,並於事後檢討改善,防止類似事件再次發生。
資安認證與稽核
本公司通過 ISO 27001 資訊安全管理系統認證,每年定期接受內部稽核及外部驗證,確保資安管理制度持續有效運作並符合國際標準要求。
內部稽核
本公司設置獨立的內部稽核單位,直接隸屬於董事會,協助董事會及管理階層檢查及覆核內部控制制度之缺失及衡量營運之效果及效率,並適時提供改進建議,以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。
稽核組織與職責
內部稽核單位設有專任稽核主管及稽核人員,稽核主管應具備領導及管理稽核業務之能力。內部稽核人員應具備會計、財務、資訊、法律、營運管理等專業知識或實務經驗。
- 訂定年度稽核計畫,執行各項稽核作業
- 評估內部控制制度之有效性
- 查核財務報導之可靠性
- 檢視營運活動之效果與效率
- 評估法令規章之遵循情形
- 追蹤稽核發現事項之改善情形
稽核範圍與程序
內部稽核範圍涵蓋公司所有營運活動,包括財務、業務、生產、研發、採購、人事、資訊等各項作業。稽核作業依據風險評估結果,採用定期稽核及專案稽核方式執行,確保高風險項目獲得適當關注。
稽核結果報告
稽核人員應於稽核結束後出具稽核報告,載明稽核發現、建議改善事項及受查單位回應。稽核報告應定期提報董事會及審計委員會,重大異常事項應即時呈報。稽核單位並應持續追蹤改善情形,確保缺失獲得有效改善。
稽核獨立性與專業發展
本公司確保內部稽核單位之獨立性,稽核人員執行職務時保持超然獨立之精神,不受其他部門干涉。公司並鼓勵稽核人員持續進修,參加內部稽核相關專業訓練課程,提升專業能力。
舉報表單
所有舉報案件將由專責人員處理,並對舉報人身分及內容嚴格保密。