神腦國際

公司治理實務

公司治理實務

公司治理單位

本公司董事會決議通過,指定主管擔任公司治理主管,股東權益並強化董事會職責。財務主管公司經理人已具備公開發行公司財務從事財務之主管職務經驗達三年以上。公司治理主管職責為依法辦理董事會及股東會會議相關責任、製作董事會及股東會議事錄、理事會就任及主要持續進修、提供董事執行業務所需資料、董事後續義務等。業務執行如下:

1. 協助獨立董事及一般董事履行職責、提供所需資料並安排董事進修:

    • 針對公司經營領域以及公司治理相關之最新宗教改革發展,於就任時提董事會成員,並定期更新。
    • 檢查視相關資訊機密等級並提供董事所需之公司資訊,維持及董事各業務主管溝通、交流以上。
    • 獨立董事監督公司治理實務守則,有與內部稽核主管或審查會計人員個別會面了解公司財務業務所需時,協助安排相關會議。
    • 依據公司產業特性及董事學、經驗背景,協助董事獨立及一般董事制定年度進修計畫及安排課程。

2. 協助理事會及股東會議事程序及決議遵行鈔票:

    • 向董事會、獨立董事、審計委員會報告公司之公司治理運作情況,確認公司股東會及董事會會議是否符合相關法律及公司治理守則規範。
    • 協助並提醒各位領導在執行業務或總部決議正式時遵守遵守之規則,並在董事會將決議正式時提出建言。
    • 會後負責檢視董事會重要決議之重大消息發布,確保重訊內容之適用性及正確性,以保障投資人交易資訊等。

3.擬訂董事會於本週七日通知董事,召集會議並提供會議資料,如需利益迴避包容事前提醒,並於會議後二十日完成董事會議事錄。

四、依法辦理股東會日期事前登記、法定期限內製作開會通知、議事手冊、議事錄並於修訂章程董事或改選辦理變更登記事項。

公司治理主管修改情形如下:
進修改日期 主辦單位 課程名稱 進修時數 每年進修總時數
114.05.16 證券暨期貨市場發展基金會 114年度防禦內線交易宣導會 3.0 3.0
114.06.10 台灣證券交易所 CDP台灣發表會-強化氣候資訊揭露以提升企業氣候心態 3.0 6.0
114.07.09 台灣證券交易所 2025國泰永續金融與氣候變遷高峰論壇 6.0 12.0
114.07.25 證券暨期貨市場發展基金會 114年度內部人股權交易法遵循宣導說明會 3.0 15.0
公司架構治理

請參閱本公司官網>關於神腦>公司組織

重要管理階層之接班計畫及配套事宜
  1. 本公司協理級(含)以上員工為重要管理階層,負責組織內部相關經營管理業務,各管理體系均設置職務代表。
  2. 本公司規劃高階管理階層(含總經理)採取嚴格的遴選、評估機制,並利用專業顧問公司的職位評價工具對高階管理階層職位進行評價,在公平、公正、調查的情況下評估企業內部人才,進一步篩選出有子確定評價關鍵職位的高能力的內部人才培養,培訓內容考慮領導潛力、管理人格特質、專業知識及管理職務。 113年也透過此工具篩選部會主管及一位執行副總經理以高階管理階層接班人選拔。
  3. 重要管理階層除應具備必要之專業技能及經驗背景外,平時房地產由執行不同的專案任務中,培養管理知識、管理技能、管理領導等三大技能,其價值觀及經營理念需與本公司『公司有道德、市場有秩序、有責任』的觀念與『誠信、專業、誠信、創新』的企業文化相符。
  4. 高階管理階層之內部培訓計畫重點,給予公司資源支持或職位設計調整,以利公司中高階人力資源補充多元,參與每月管理會議,並以專案任務安排主管人員進行管理相關的實務分享交流,且提供線上課程學習平台囊括領導、管理、科技、創新、產業趨勢等,供管理階層自主學習,建立其綜合營運能力。
  5. 同時貫穿每季檢視及每年員工績效考核制度,依公司發展策略,進行關鍵人才部門輪調,培養多元多元化人才,以利人才之傳承。貫穿平日觀察及績效評估,了解應強化各處、個人發展需求及公司期望,以考核結果作為日後接班規劃之參考,整體訓練時程執行1~2年。
    風險管理政策與程序

    本公司已於109年11月4日董事會通過「風險管理作業規定」,每年定期(一年)評估風險,並針對各項風險一次製定風險管理政策,涵蓋管理目標、風險評估、風險調整及風險監控等機制並落實執行,以有效、逐步,及控製本公司之各項風險,將因業務活動所產生的風險控制在特定的範圍內。營運商與目標、海關總署風險,在可承受的風險範圍內可能發生的損失,建立性的風險管理組織架構及風險管理。針對我們面臨的產業、預期面臨的經濟、環境及社會風險,我們要積極主動防治各種不確定因素。未來,我們將進一步強化企業風險管理相關意識,持續提升員工整體風險管理制度,有效掌握與管理風險不確定性。

    管理體系 權利責任範圍
    董事會/
    審計委員會     		1. 核定風險管理政策及架構
    2. 落實風險管理機制之有效性,進行資源配置
    高階管理階層
    (總經理、執行副總經理、副總經理)     		1.執行風險管理決策
    各部會主管 1.彙整風險管理活動執行結果
    2.協助與部門監督內各項進行風險管理活動
    3.視外部環境及內部策略改變決定風險類別並建議承擔方式
    4. 進行風險調整後的落實與協調
    部門地方政府之地方政府主管單位 1. 履行日常風險管理活動
    2. 進行風險控制管理活動之自我評估


    風險管理架構圖

    本公司每年一次向董事會報告風險評估分析後風險圖及因應措施(表如下)。

    114年風險評估分析業經113/12/13董事會通過。

    資訊安全政策
    一、前言

    基於神腦國際企業股份有限公司(以下簡稱本公司)的業務特性,為客戶、股東及公司之權益,本公司及全體員工共同維護責任與義務,共同建立及維護一個安全的資訊與通訊作業環境,讓資訊安全成為企業文化的一環,特訂定資訊安全政策,以明確定義安全目標與安全要求,以資金遵循。

    二、適用範圍
        1. 本公司全體同仁
        2. 本公司相關資訊系統
        3. 廠商、訪客
        4. 其他適用命令規定或契約約定適用本政策之人員或組織
      三、目的

      本公司資訊安全政策制定的目的,在提供可資依循之企業資訊安全指導大綱及方向的基礎上,明確規定本公司資訊安全管理之目標,並作為本公司各事業部規範所轄園區業務安全責任之指導原則。並符合資訊安全管理制度(ISMS)要求,確保資訊資產之機密性、權限與可用性。一、機密性:確保被授權的人員方可合理使用信息,以防止信息被不當揭露。二、缺陷:確保資訊未授權的外洩修改與資訊處理方法及結果的正確性。三、可用性:確保經授權的用戶,在需要獲取資訊時,可以獲取信息,並使用相關資產。

        四、資訊安全組織
        組織 權利責任範圍
        資訊安全管理委員會
        1. 擔任資訊安全管理系統的驗證代表。
        2. 督導資訊安全管理系統的實施。
        3. 審核資訊安全管理系統目標及實施範圍。
        4. 審核資訊安全管理相關作業執行情形及改善的效果。
        5. 檢視資訊安全相關政策及規定,協調資源之分配及使用。
        6. 監督持續演練之辦理。
        7. 審核實施矯正措施所需的資源,包括人力、時間及有效。
        8. 審核矯正措施之有效性。
        9. 每年至少召開管理審查會議1次,必要時得召開臨時會議。
        執行助理 負責資安工作推動各項協調工作
        資訊安全處理小組
        1. 負責執行單位內部資訊安全業務及相關技術的推動。
        2. 收集並提供資訊安全相關資訊,如防護、防毒及防毒等,並適時發佈公告。
        3. 建立資訊安全措施,落實資訊安全監控等安全預防措施。
        4. 不定期參與外部資訊安全研討會、訂閱資訊安全相關電子報或與資訊安全專家保持聯繫,以獲取資訊安全新知。
        5. 規劃危機處理程序,查明危機事件原因、確定影響範圍及損失評估,通報執行緊急措施,辦理資訊安全,並落實解決等危機處理事項。
        6. 依托相關股東持續運作的計畫與資安事件管理程序書,執行災害通報工作。
        7. 糾正措施啟動時間之判別,定期追蹤查核成效。
        8. 其他有關資訊安全相關業務。
        資產盤點與風險評估小組
        1. 辦理資產盤點及風險評鑑作業。
        2. 涉及資產盤點及風險評估討論。
        3. 彙整資產盤點及風險評鑑資料。
        4. 建議風險管控措施。
        5. 協助制定風險處理方案。
        6. 協助執行風險處理。
        7. 確認風險處理結果。
        8. 每年至少進行1次資訊資產清單更新、覆核及風險評估。
        文件管制小組
        1. 資訊安全管理系統文件發行、回收、保管、借閱與理論及版本管理。
        2. 資訊安全管理系統文件電子文件公告及更新管理。
        3. 紙本記錄恢復、儲存與管理。
        4. 幫助資訊安全教育訓練。
        5. 於管理審查會議提報年度糾正措施的實施結果。
        核對小組
        1. 訂定相關之查核計畫、執行查核作業。
        2. 檢視資訊安全業務。
        3. 提出查核報告及相關建議事項。
        4. 複查核對報告不符合事項的整改措施。
        5. 每年實施1次資訊安全查核(含內部)。
        6. 保管備查資訊安全查核報告。

        五、公司資訊安全政策

        資訊安全政策包含以下內容:

            1. 本公司各事業部執行業務時必須遵守政府相關法規(如:專利法、著作權法、個人資料保護法、個人資料保護法實施細則等)的規定。
            2. 資訊安全管理委員會,負責本公司資訊安全管理系統的建立及推播提醒。
            3. 建立組織全景評估機制,以芬蘭資訊安全的方針與資訊安全管理系統的實施範圍,並了解組織全景及關注方的需求與期望。
            4. 訂定文件控管作業規定,以律定資訊安全制度相關文件之製定、修改、編碼、發布等管理原則。
            5. 建立資訊資產之管理機制,以人力分配、有效運用有限資源,解決關鍵安全問題。
            6. 建立風險評鑑管理辦法,辨識出各類資產的風險,採取適當的風險處理措施,實際管控、降低風險至極度。
            7. 定期實施業務相關之資訊安全教育培訓,宣導資訊安全政策及相關實施規定。
            8. 建立機房實體及環境安全防護措施,並定期實施相關維修維護。
            9. 明確規範資訊系統、網路服務、敏感資訊的使用權限,禁止未授權之存取行為。
            10. 建立資訊系統取得、開發及作業流程,明確規範系統於開發及委外遵循相關維護原則,且資訊系統或服務應於建置或推出前,應將資訊安全相關設施納入,以防範化學品安全之情況發生。
            11. 訂定及執行資訊安全內部稽核活動,以落實資訊安全管理制度,針對未盡事宜執行整改辦法。
            12. 訂定資訊安全之營運持續計畫並實際演練,確保本公司突發傷害事故練習時業務得以持續運作。
            13. 本公司全體人員均負有維護資訊安全之責任,且應學習及遵守相關之資訊安全管理規定,並於工作職責中落實。

          六、資訊防護措施

          除建立相關資訊安全管理系統外,除建立相關內部、外部環境可能之風險進行對應與監測外,亦針對內部資金安防系統,強化偵查與防護穩定性,建立業務持續運作機制,以降低企業資金安及經營風險,進一步達到風險發生的目的。

          專案 內部 外部

          風險及趨勢監控
          • 定期執行風險審計,並發現違規事項予以整改
          • 採用入侵偵測監控、防毒集中管理平台、整合日誌集中化平台,自動分析流量統計、掃描潛在事件
          • 資安攻擊事件發生後,相關單位將進行事件調查與分析
          • 隨時追蹤國際標準及法規趨勢
          • 訂閱資安威脅及技術情報資訊,強化資安趨勢的掌握度
          • 定期參與國際資安大會掌握最新技術與威脅情報
          • 加入台灣CERT/CSIRT聯盟共享相關資源安情資源

          機制與防護
          • 實現日誌集中化並進行自動化關聯分析,建立即時資安事件機制
          • 導入惡意封包監控及主機端點防護系統
          • 強化應用程式防護,導入應用程式防火牆,降低應用程式受攻擊的風險
          • 強化資料庫系統審計,導入資料庫存取監控系統,留存資料庫活動統計
          • 與資安廠商合作,即時分析內部使用情況
          • 定期安排對外服務資訊系統執行第三方檢測,如滲透測試、紅隊演練等
          • 洩漏專業白帽駭客,遵循國際組織檢測標準如OWASPOSSTMM執行,借鑒發現資安風險進行修改與追蹤

          業務持續運作
          • 參考ISO 22301:2012規範,進行混合雲架構的建置與遷移
          • 針對關鍵業務系統建立職工持續計劃,並每年定期演練
          • 落實國家資通安全政策,及時更新與確認情況,定期進行資安教育及考試
          • 執行PDCA,強化事前預防、事中監控、事後應變,降低企業資安風險

           七、相關建置安全與執行狀況資訊

              1. 113年投資資金安相關係統總計1,300萬元,第四季將進行滲透測試演練,即時更新及防護網際網路道路上的最新威脅。
              2. 113年8月已完成ISO27001:2022轉版,並透過驗證達到全球各類IT標準,以達到資訊安全管理的國際標準。
              3. 持續強化神腦及子公司資安事務,第一季完成子公司端點防護系統建設及資安公司團隊監控;今年在董事會進行了5次資訊安全報告,1次資訊安全管理審查會議,重點滿足關注方及跨部門的需求。

          八、資安事件通報及處理作業流程

          遵從主管機關及政府法令,制定資安事件機制及處理作業流程,將事件通報分類為資安事件或個資事件,依序可對事件快速反應及處理,並依階層通報至相關主管機關。本公司參考過去資料提示以下兩種資安事件若發生造成之影響的狀況:

              1. 神腦相關係統因遭遇突發攻擊方式,造成神腦相關係統無法存取及使用,經緊急處理啟動相關防禦機制並進行緊急服務轉計劃,影響神腦生活網站服務約1天,約損失營業額8600萬元。
              2. 神腦主要辦公室因地震影響,造成電力、網路受到影響,目前有一段時間影響無法辦公及部分服務受到影響,緊急將服務移至雲端主機及繼續運行,相關服務、廠商、設備費用損失約1億元。
          公司取得相關認證
          ISO 27001

          ISO 14064-1

          ISO 14067

          碳足跡標籤-桃子園藝文特約服務中心

          公司治理運作狀況