- 風險管理政策
- 本公司於114.05.14董事會通過「風險管理政策與程序」揭露詳見(Link)。
- 本公司風險管理由審計委員會督導,對董事會負責,下設風險管理小組,協助董事會執行其風險管理職責,並將所提議案交由董事會決議。
- 風險管理組織架構
- 風險管理組織架構:其權責詳「風險管理政策與程序_第六條」
-
- 風險管理程序:
- 本公司風險管理流程包括風險辨識、風險分析、風險評量、風險回應,及監督及審查機制五大要素。請詳本公司「風險管理政策與程序_第四章」
- 風險管理運作
- 風險事項分析、評估
114年度風險管理政策與程序:(114.05.14提報董事會),將「利害關係人關注程度」*「對企業營運影響程度」權衡後,鑑別出重大性議題。 詳見(Link)
- 風險監督及審查
_ 於2024 ESG報告書中揭露 2024 (113) 年度 風險管理政策中重大性議題執行情形,並於114.08.13董事會報告。
1. 資通安全風險管理架構
- 資安中心
磐儀科技董事會於2023.11.13通過「資安中心」成立及資安主管任命案,由資安中心協理擔任資安專責主管,由各副總與資訊處處長擔任委員會成員,定期召開會議檢視重要資訊安全政策、資訊安全風險評估與強化計畫、資訊安全指標與全球資訊安全態勢與威脅,確保達成磐儀科技資訊安全政策與管理目標,並由資安主管整理彙總年度執行資安風險狀況,每年至少1次向董事會報告。
- 資訊安全執行小組
磐儀科技成立「資訊安全小組」,由人資部、管理部、廠務、資訊中心、文管中心擔任小組成員,定期召開會議檢視及決議重要資訊安全與資訊保護政策與計畫執行,確保實現磐儀科技資訊安全政策目標。
2. 資通安全管理與執行重點
|
管理方向 |
執行重點 |
|
磐儀科技為了預防及降低外部資安風險,落實及持續更新嚴謹的資安措施如下: l
建置先進的病毒掃描工具,以防止公司所使用之資訊系統遭受病毒感染; l
強化網路防火牆與網路控管以防止電腦病毒跨廠區擴散; l
在公司電腦上建置防毒措施及先進的惡意軟體偵測解決方案; l
改善資安部署時間以強化資料中心安全。並建立與定期檢討資安績效指標; l
導入新技術加強資料保護;加強釣魚郵件偵測並定期執行員工警覺性測試; l
建立一個整合的自動化資安維運平台,並強化資安事件偵測與處理自動化; l
持續演練資安攻擊之處理程序; l
委託外部專家執行資安評鑑等。 |
每年持續進行的資安執行重點如下: l
資訊安全管理。 l
資訊安全政策管理。 l
資訊安全組織管理。 l
人力資源安全管理。 l
資訊資產管理。 l
存取控制管理。 l
密碼管理。 l
實體與環境安全管理。 l
作業安全管理。 l
通訊安全管理。 l
資訊系統獲取、開發及維護管理。 l
供應商關係管理。 l
資訊安全事件管理。 l
業務持續管理。 l
遵循性(適法性)管理。 l
資料安全管理。 l
變更與組態管理。 l
雲端服務管理 |
3. 115.03.16董事會報告:115資通安全政策及114具體管理方案與執行情形。詳見(Link)
4. 資通安全管理投入資源
- 112.11.13董事會通過本公司資安主管任命案,目前配置專責主管及專責人員各一名。
- 114年度 投入NT$ 839,586
- 114年度 教育訓練為175人次;2024起於公司內網進行資安及法規宣導,並於114.05/12~05/29 進行全體員工資安常識測驗)
- 本公司訂定「防範內線交易管理作業程序」以保障投資人及維護本公司權益。揭露詳見(Link)
- 禁止公司董事於財務業績(financial results)發布前交易其股票 _ 本公司「防範內線交易管理作業程序_第八條」
- 規範:明訂董事不得於年度財務報告公告前三十日,和每季財務報告公告前十五日之封閉期間交易本公司股票。
- 落實:董事會之議事單位應於財務報告公告之 30/15 日前對董事做封閉期間之通知。
- 節錄「防範內線交易管理作業程序」內控機制及教育宣導如下:(A)內部稽核人員依風險評估結果不定期瞭解其遵循情形並作成稽核報告,以落實本作業程序之執行。(B)本公司對董事、經理人及受僱人應適時提供本作業程序及相關法令之宣導;__ 本公司每年至少一次對現任董事、經理人及受雇人進行「防範內線交易相關法令」之教育宣導; 109年度起本公司新人訓中加入「防範內線交易及誠信經營宣導課程」,並強制除產線員工,每位員工每年3月底前,皆須完成「防範內線交易及誠信經營宣導課程」。(C)董事會之議事單位應於財務報告公告之30日/15日前通知董事。(D)董事及經理人於其就任之日起五日內簽署「確知內部人相關法令聲明書」;並在每年年初要求經理人簽署「關係人交易聲明書」。
- 落實禁止內線交易之具體情形: (A)114年度「防範內線交易及誠信經營宣導課程」完訓並測驗合格之人次為158人,訓練總時數為4740分鐘。_ 每人受訓時數至少須達30分鐘,並測驗合格),課程內容包括內線交易形成原因、認定過程、罰則及交易實例與不誠信行為樣態之說明,並將課程簡報與影音檔案發送至每位員工個人信箱,供全體員工參考。)(B)本公司分別於114年度及113年度第一季完成113年度及112年度「關係人交易聲明書」簽署。
磐儀個人資料保護政策
-
適用範圍:政策涵蓋所有涉及公司個人資料蒐集、處理與利用的相關方
- 客戶與消費者:包括現有、潛在及過去的客戶,涵蓋透過網站、行銷活動等管道取得的資料。
- 員工與相關人員:包含全體員工(正職、兼職、約聘)、經理人、董事。
- 供應商與受託單位:包含供應商、外包廠商、合作夥伴及其相關人員。
- 其他利害關係人:如訪客、求職者或股東等。
-
負責單位:跨部門權責分工
- 資訊單位 (IT):負責系統加密、防火牆、權限管控等技術性防護。
- 法務單位:負責法令遵循、合約審查及事件通報程序。
- 客服/業務單位:作為客戶個資行使權利(如查詢、更正或刪除)的第一線聯繫窗口。
- 人力資源單位 (HR):負責員工個資管理與相關教育訓練。
-
磐儀個人資料保護政策
- 磐儀「個人資料管理辦法」經由董事長簽核後實施。
- 政策核心重點:
-
法律合規與告知義務
• 明確告知事項:蒐集個資前,須明確告知機關名稱、蒐集目的、資料類別、利用期間/地區/對象及方式。
• 遵循誠信原則:個資利用不得逾越特定目的之必要範圍,且應與蒐集目的具正當關聯。
• 特殊資料限制:如病歷、基因、性生活、健康檢查、犯罪前科等敏感性個資,原則上不得蒐集,除非法律明文規定或經當事人書面同意。 -
當事人權利保障
• 查詢與閱覽:請求查詢或製給複製本。
• 更正與補充:資料不正確時可請求更正。
• 停止利用與刪除:目的消失、期限屆滿或違法蒐集時,當事人可要求刪除或停止處理。 -
安全維護與管理措施
• 技術控管:實施存取控制(權限管理)、資料加密、備份及災難恢復機制。
• 應變計畫:建立個資外洩通報流程,發生侵害時需即時採取補救措施,並依法通知當事人與通報主管機關。
• 人員與外部管理:定期進行員工資安訓練;與外部供應商簽約時應明確規定資料保護條款。
-
年度實施情形
-
供應鏈與合作夥伴管理:
- 公司對外合作前簽署制式「保密協議」,並依個人資料保護法提出《個資蒐集使用宣告》。
-
每一年度至少進行 1 次個資盤點:
- 公司每年度均會進行個人資料盤點作業,請各部門負責同仁就公司取得之個人資料進行管控、檢視及異動回覆。
- 114 年度對磐儀內部 31 個單位進行個資盤點,回收率 100%。
-
供應鏈與合作夥伴管理: