公司治理實務

公司治理單位

本公司董事會決議通過,指定財務主管擔任公司治理主管,保障股東權益並強化董事會職能。財務主管為本公司經理人且已具備公開發行公司從事財務之主管職務經驗達三年以上。公司治理主管主要職責為依法辦理董事會及股東會會議相關事宜、製作董事會及股東會議事錄、協助董事就任及持續進修、提供董事執行業務所需之資料、協助董事遵循法令等。業務執行情形如下:

1. 協助獨立董事及一般董事執行職務、提供所需資料並安排董事進修:

    • 針對公司經營領域以及公司治理相關之最新法令規章修訂發展,於就任時提董事會成員,並定期更新。
    • 檢視相關資訊機密等級並提供董事所需之公司資訊,維持董事和各業務主管溝通、交流順暢。
    • 獨立董事依照公司治理實務守則,有與內部稽核主管或簽證會計師個別會面瞭解公司財務業務之需要時,協助安排相關會議。
    • 依照公司產業特性及董事學、經歷背景,協助獨立董事及一般董事擬定年度進修計畫及安排課程。

2. 協助董事會及股東會議事程序及決議法遵事宜:

    • 向董事會、獨立董事、審計委員會報告公司之公司治理運作狀況,確認公司股東會及董事會召開是否符合相關法律及公司治理守則規範。
    • 協助且提醒董事於執行業務或做成董事會正式決議時應遵守之法規,並於董事會將做成違法決議時提出建言。
    • 會後負責檢覆董事會重要決議之重大訊息發布事宜,確保重訊內容之適法性及正確性,以保障投資人交易資訊對等。

3. 擬訂董事會議程於七日前通知董事,召集會議並提供會議資料,議題如需利益迴避予以事前提醒,並於會後二十天內完成董事會議事錄。

4. 依法辦理股東會日期事前登記、法定期限內製作開會通知、議事手冊、議事錄並於修訂章程或董事改選辦理變更登記事務。

公司治理主管進修情形如下:
進修日期 主辦單位 課程名稱 進修時數 當年度進修總時數
112.03.27 中華民國工商協進會 公司董事暨監察人研習
「企業韌性,台灣競爭力」
3.0 3.0
112.06.02 中華民國工商協進會 公司董事暨監察人研習
「2023台新淨零電力高峰論壇」
3.0 6.0
112.07.13 台灣證券交易所 上市櫃公司永續發展行動方案宣導會 3.0 9.0
112.08.07 台北金融研究發展基金會 永續發展與永續治理趨勢 3.0 12.0
112.08.17-18 社團法人中華公司治理協會 淨零永續人才育成班-企業低碳轉型對策 9.0 21.0
113.07.03 台灣證券交易所 2024國泰永續金融暨氣候變遷高峰論壇 6.0 27.0
公司治理架構

重要管理階層之接班計畫及運作情形
  1. 本公司協理級(含)以上員工為重要管理階層,負責組織內相關經營管理業務,各管理層級皆設有職務代理人。
  2. 本公司規劃高階管理階層(含總經理)接班採取嚴謹的遴選、評鑑機制,並透過專業顧問公司的職位評價工具對高階管理階層職位進行評價,在公平、公正、客觀的情況下評估企業內部人才,進一步篩選出有潛力的接班人才。確定評價關鍵崗位的高潛能的內部人才進行培養,培訓內容兼顧領導潛力、人格特質、專業知識及管理職能。111年也透過此工具篩選部級主管及一位執行副總經理作為高階管理階層接班人選。
  3. 重要管理階層除應具備必要之專業技能及經歷背景外,平時藉由執行不同專案任務中,培養管理知識、管理技能、管理領導等三大技能,其價值觀及經營理念需與本公司『公司有倫理、市場有秩序、工作有責任』的觀念與『誠實、專業、堅定、創新』的企業文化相符。
  4. 高階管理階層之內部培訓計畫重點,公司給予資源支持或職務設計調整,以利公司中高階人力資源更具多元多樣,參與每月管理會議,並以專案任務安排主管們進行管理議題相關的實務分享交流,且提供線上課程學習平台囊括領導、管理、科技、創新、產業趨勢等,供管理階層同仁自主學習,以建立其綜合營運能力。
  5. 同時透過每季檢視及每年員工績效考核制度,依公司發展策略,進行關鍵人才部門輪調,培養多元多樣人才,以利人才之傳承。透過平日觀察及績效評估,了解應強化之處、個人發展需求及公司期望,以考核結果作為日後接班規劃之參考,整體培訓時程為期 1~2 年。
    風險管理政策與程序

    本公司已於109年11月4日董事會通過「風險管理作業規定」,每年定期(一年一次)評估風險,並針對各項風險擬定風險管理政策,涵蓋管理目標、風險評估、風險應變及風險監控等機制並落實執行,以有效辨識、衡量,及控制本公司之各項風險,將因業務活動所產生的風險控制在可接受的範圍。為確保本公司穩健經營與永續發展,依據公司營運策略與目標,界定各類風險,在可承受的風險範圍內預防可能的損失,建立整體性的風險管理組織架構及風險管理機制。針對我們所處的產業,預期將面臨的經濟、環境及社會風險,我們透過積極的控管來應對各種不確定因素。未來,我們將進一步強化企業風險管理相關制度,持續提升員工的風險管理意識,有效掌握和管理風險及其不確定性。

    管理層級 權責範圍
    董事會/
    審計委員會
    1. 核定風險管理政策及架構
    2. 確保風險管理機制之有效性,進行資源配置
    高階管理階層
    (總經理、執行副總經理、副總經理)
    1. 執行風險管理決策
    2. 協調跨部門之風險管理互動與溝通
    各部級主管 1. 彙整風險管理活動執行結果
    2. 協助與監督部門內各項進行風險管理活動
    3. 視外部環境及內部策略改變決定風險類別並建議承擔方式
    4. 進行風險調整後之績效衡量與協調
    部門所屬之各級單位主管 1. 執行日常風險管理活動
    2. 進行風險控管活動之自我評估

    風險管理架構圖

    公司每年一次向董事會報告風險評估分析後風險圖及因應措施(如下表)。

    資訊安全政策
    一、前言

    基於神腦國際企業股份有限公司(以下簡稱本公司)的業務特性,為維護客戶、股東及公司之權益,本公司及全體同仁有責任和義務,共同建立及維護一個安全的資訊與通訊作業環境,讓資訊安全成為企業文化的一環,特訂定資訊安全政策以明確定義安全目標與安全要求,以資遵循。

    二、適用範圍
        1. 本公司全體同仁
        2. 本公司相關資訊系統
        3. 廠商、訪客
        4. 其他依法令規定或契約約定適用本政策之人員或組織
      三、目的

      本公司資訊安全政策制定的目的,在提供可資依循之企業資訊安全指導大綱及方向,明確定義本公司資訊安全管理之目標,並作為本公司各事業部規範所管轄業務安全責任之指導原則。強化資訊安全管理,確保資訊資料、系統、設備及網路通訊之安全,以有效降低因人為疏失、蓄意破壞、設備故障或天然災害等因素導致資訊資產遭竊、不當使用、洩漏、竄改、毀損或服務中斷之風險。並符合資訊安全管理制度(ISMS)要求,確保資訊資產之機密性、完整性與可用性。一、機密性:確保被授權之人員方可合理的使用資訊,以防止資訊被不當揭露。二、完整性:確保資訊不受未經授權的竄改與資訊處理方法及結果的正確性。三、可用性:確保經授權的使用者,在需要時可以取得資訊,並使用相關資產。

        四、資訊安全組織
        組織 權責範圍
        資訊安全管理委員會
        1. 擔任資訊安全管理系統之驗證代表。
        2. 督導資訊安全管理系統之實施。
        3. 審核資訊安全管理系統目標及實施範圍。
        4. 審核資訊安全管理相關作業執行情形及改善的有效性。
        5. 檢討資訊安全相關政策及規定,協調資源之分配及使用。
        6. 監督營運持續演練之辦理。
        7. 審核實施矯正措施所需之資源,包括人力、時間及經費。
        8. 審核矯正措施之有效性。
        9. 每年至少召開管理審查會議1次,必要時得召開臨時會議。
        執行秘書 負責資安工作推動之各項協調工作
        資訊安全處理小組
        1. 負責執行單位內資訊安全業務及相關技術之推動。
        2. 蒐集並提供資訊安全相關資訊,如防護、防毒及防駭等,並適時發布公告。
        3. 建置資訊安全措施,執行資訊安全監控等安全預防事項。
        4. 不定期參與外部資訊安全研討會、訂閱資訊安全相關電子報或與資訊安全專家保持聯繫,以獲取資訊安全新知。
        5. 規劃危機處理程序,清查危機事件原因、確定影響範圍及損失評估,執行應變措施,辦理資訊安全通報,並執行解決辦法等危機處理事項。
        6. 依據相關營運持續運作計畫與資安事件通報管理程序書,執行災害復原工作。
        7. 矯正措施啟動時間之鑑別,定期追蹤查核實施成效。
        8. 其他有關資訊安全相關業務。
        資產盤點暨風險評鑑小組
        1. 辦理資產盤點及風險評鑑作業。
        2. 參與資產盤點及風險評鑑討論。
        3. 彙整資產盤點及風險評鑑資料。
        4. 建議風險控管措施。
        5. 協助擬定風險處理計畫。
        6. 協助執行風險處理。
        7. 確認風險處理結果。
        8. 每年至少進行1次資訊資產清單更新、覆核及風險評估。
        文件管制小組
        1. 資訊安全管理系統文件發行、回收、保管、借閱與銷毀及版本管理。
        2. 資訊安全管理系統文件電子文件公告及更新管理。
        3. 紙本紀錄回收、儲存與管理。
        4. 協助資訊安全教育訓練。
        5. 於管理審查會議提報年度矯正措施之實施結果。
        查核小組
        1. 訂定相關之查核計畫、執行查核作業。
        2. 查核資訊安全業務。
        3. 提出查核報告及相關建議事項。
        4. 複查查核報告不符合事項之矯正措施。
        5. 每年實施1次資訊安全查核(含內部)。
        6. 保管備查資訊安全查核報告。

        五、公司資訊安全政策

        資訊安全政策包含了以下內容:

            1. 本公司各事業部執行業務時必須遵守政府相關法規(如:專利法、著作權法、個人資料保護法、個人資料保護法施行細則等)之規定。
            2. 設置資訊安全管理委員會,負責本公司資訊安全管理系統之建立及推動事宜。
            3. 建立組織全景評鑑機制,以界定資訊安全的方針與資訊安全管理系統的實施範圍,並了解組織全景及關注方的需要與期望。
            4. 訂定文件控管作業規定,以律定資訊安全制度相關文件之制定、修改、編碼、發行等管理原則。
            5. 建立資訊資產之管理機制,以統籌分配、有效運用有限資源,解決關鍵安全問題。
            6. 建立風險評鑑管理辦法並識別出各類資產的風險,以採取適當之風險處理措施,加以管控、降低風險至可接受之程度。
            7. 定期實施業務相關之資訊安全教育訓練,宣導資訊安全政策及相關實施規定。
            8. 建立機房實體及環境安全防護措施,並定期施以相關保養維護。
            9. 明確規範資訊系統、網路服務、敏感資訊之使用權限,防止未經授權之存取行為。
            10. 建立資訊系統獲取、開發及維護作業流程,明確規範系統於開發及委外相關遵循之依據,且資訊系統或服務應於建置或推出前,應將資訊安全相關議題納入,以防範危害系統安全之情況發生。
            11. 訂定及執行資訊安全內部稽核活動,以落實資訊安全管理制度,針對未盡事項執行矯正措施。
            12. 訂定資訊安全之營運持續計畫並實際演練,確保本公司遭受突發事故時業務得以持續運作。
            13. 本公司所有人員皆負有維持資訊安全之責任,且應瞭解及遵守相關之資訊安全管理規定,並於工作職責中落實。

          六、資訊防護措施

          除建立相關資訊安全管理系統,除持續依據內、外部環境可能之風險進行對應與監控外,亦針對內部既有資安系統,強化偵測與防護穩定性,建立業務持續運作機制,以降低企業資安和經營風險,進而達到預防風險發生的目的。

          項目 內部 外部

          風險及趨勢監控

          • 定期執行風險稽核,並依據發現事項改善
          • 採用入侵偵測監控、防毒集中管理平台、整合日誌集中化平台,自動分析搜集軌跡、掃描潛在事件
          • 資安攻擊事件發生後,相關單位將進行事件調查與分析
          • 隨時追蹤國際標準及法規趨勢
          • 訂閱資安威脅及技術情報資訊,強化資安趨勢的掌握度
          • 定期參與國際型資安大會掌握最新技術與威脅情資
          • 加入台灣CERT/CSIRT聯盟共享相關資安情資

          機制與防護

          • 落實日誌集中化並進行自動化關聯分析,建立即時資安事件告警機制
          • 導入惡意封包監控機制及主機端點防護系統
          • 強化應用程式防護,導入應用程式防火牆,降低應用程式遭受攻擊的風險
          • 強化資料庫系統稽核,導入資料庫存取監控系統,留存資料庫活動軌跡
          • 與資安廠商合作,即時分析內部使用狀況
          • 定期安排對外服務資訊系統執行第三方檢測,如滲透測試、紅隊演練等
          • 透過專業白帽駭客,遵循國際組織檢測標準如OWASPOSSTMM執行,依據發現資安風險進行修正與追蹤

          業務持續運作

          • 參考ISO 22301:2012規範,進行混合雲端架構的建置與遷移
          • 針對關鍵業務系統建立營運持續計劃,並每年定期演練
          • 落實國家資通安全政策,即時更新與確認法遵狀況,定期進行資安教育訓練及考試
          • 執行PDCA,強化事前預防、事中監控、事後應變,降低企業資安風險

           七、資訊安全相關建置與執行狀況

              1. 2023年投資資安相關系統合計1,300萬元,第二季導入建置多個資安系統,持續觀察設備及網路行為,即時更新及防護網際網路上的最新威脅,與資安廠商合作判讀各種情資,並依照制定的資安政策採取立即的行動。
              2. 2023第三季已取得ISO27001:2013證書來達到全球各類IT 標準,以達資訊安全管理的國際標準;為了符合主管機關相關資通安全指引及規範,預計113年更新為最新的ISO27001:2022證書。
              3. 2023年成立資訊安全管理委員會,並將既有的資安權責單位『資訊安全課』提升到『資訊安全處』,並配置一位專責資安主管及兩位專職資安人員;今年在董事會進行了5次資訊安全報告,1次資訊安全管理審查會議進而符合關注方及跨部門的需求。

          八、資安事件通報機制及處理作業流程

          遵循主管機關及政府法令,2023 年更新資安事件通報機制及處理作業流程,將事件分類為資安事件或個資事件,依照流程可對事件快速反應及處理,並依照等級通報至相關主管機關。本公司參考過去資料估算以下兩種資安事件若發生造成之影響的狀況:

              1. 神腦相關系統因遭受阻斷式攻擊,造成神腦相關系統無法訪問及使用,經緊急處理並進行緊急服務移轉計畫,影響神腦生活網站服務約2天,約損失營業額1億7200萬元。
              2. 神腦主要辦公室因地震影響,造成電力、網路受到影響,估算有兩週時間影響無法辦公及部分服務受到影響,緊急將服務移至雲端主機及繼續運作,相關服務、廠商、設備費用損失約1億元。
          公司取得相關認證

          公司治理運作情形