本公司為恪遵法令及謹守道德規範之企業,持續強化公司治理與風險控管機制,並透過完整的教育訓練與宣導,以深化全體員工的從業道德,實踐產業共好,成為最值得信賴的公司。
福懋科技依循相關法規以有制度的公司治理機制,鞏固公司營運,確保利害關係人之權益。本公司於2023年蟬連「臺灣就業99指數」成份股,並於第十屆公司治理評鑑之上市公司排名前20%,在公司治理面的持續努力深獲肯定。
全球化和技術進步使得商業環境變得更加複雜,氣候變遷、地緣政治風險和全球供應鏈中斷等全球性的問題,更對企業產生直接或間接的潛在影響。面對多變且充滿不確定的環境,福懋科技參考COSO 企業風險管理架構的精神,逐步建立全面性風險管理制度並強化風險文化,期許能成為一個更具韌性、更穩健和更具競爭力的企業。
我們於2023 年持續以敏感度分析和壓力測試等風險管理工具,用以評估於缺水、停電、因資安事件導致與生產相關之資訊系統停止運作,及生產關鍵原物料價格波動等非財務面關鍵風險因子在不同情境下對企業於產值、營收、毛利率等的潛在影響,以強化對企業面臨之風險和機會有更全面的了解,進而制定相應的風險管理和控制策略。
針對企業經營風險,福懋科技每年就總經理室提出之風險項目進行鑑別,並對鑑別後之風險項目考量發生頻率、衝擊程度判定各項風險等級並採取因應措施,2023 年共提出218 項風險項目,無立即需改善項目、須規劃並執行風險控制措施7 項、設定指標監控140 項、須持續觀察71 項。
福懋科技為保護公司與客戶資訊的安全,積極推動全公司之資訊安全制度,已於2022年取得ISO 27001:2013 資訊安全管理系統認證(適用日期:2022/5/15~2025/5/15),以期能獲得各關注方對本公司資訊安全之信賴。
福懋科技為保護公司與客戶資訊的安全,積極推動全公司之資訊安全制度,已於2022年取得ISO 27001:2013 資訊安全管理系統認證(適用日期:2022/5/15~2025/5/15),以期能獲得各關注方對本公司資訊安全之信賴。
本公司之資訊安全政策聲明為:『確保資訊資產之機密性、可用性與完整性,以保障客戶、公司、股東、員工及供應商之權益,並能善盡社會責任。』
成立跨部門之資訊安全委員會,由總經理擔任召集人,並由各部門一級主管主管擔任委員,成員分別為資訊安全委員會主委(資訊中心最高主管)、總經理室、財務部、行政部、品經部、研發中心、營業部、生管部、廠務部、資訊中心及各生產單位。
資訊安全委員會定期召開,主要負責資訊安全政策、目標及相關規範之規劃擬定、核准及督導,並向董事會報告資訊安全管理之成效。
設置資安長,由資訊中心最高主管擔任,資安專責人員共四名,專責推動資安營運持續計畫、資訊資產盤點及辦理資安風險評估作業,建立並執行相對應的管理制度與技術防護,以維護資訊安全為目標。
營運持續與演練:
等級 | 說明 | 演練頻率 | 備份頻率 |
---|---|---|---|
A | 重要主機 | 每1年至少1次 | 每日 |
B | 主要主機 | 每2年至少1次 | 每週 |
C | 一般主機 | 每3年至少1次 | 每季 |
D | 其他主機 | 不定期 | 每半年 |
重要主機設有多重備援機制,放置於不同媒體與異廠機房。每年依等級進行演練,2022年A級主機執行率100%。 | |||
更新時間:2023/08 |
資安教育訓練與目標:
課程名稱 | 對象 | 人數 | 人時數 | 涵蓋率 |
---|---|---|---|---|
ISO27001控制項目 | 資安委員 資安幹事 資安稽核員 |
44 | 264 | 100% |
社交工程教育訓練 | 全體員工 | 2,389 | 2,389 | 100% |
資安教育訓練 | 新進員工 | 170 | 170 | 100% |
社交工程訓練 | 演練點擊員工 | 168 | 168 | 100% |
資安設備管理教育訓練 | 系統管理員 | 4 | 16 | 100% |
資訊安全管理成效:
違反資安事件之件數與罰款 | 2020年 | 2021年 | 2022年 | 2023年 |
---|---|---|---|---|
違反資安件數 | 0 | 0 | 0 | 0 |
涉及客戶個資之資安件數 | 0 | 0 | 0 | 0 |
受到資訊洩露之客戶總數 | 0 | 0 | 0 | 0 |
罰款金額 | 0 | 0 | 0 | 0 |
更新時間:2024/07 |
資訊具體管理方案:
多層資安防護 | 說明 | |
---|---|---|
網路安全 | 定期執行弱點掃描與系統軟體更新 架設WAF、IPS、防火牆及網路安全控管設備 設置郵件附件清洗CDR(Content Disarm and Reconstruction),力求郵件檔案無駭化 |
|
裝置安全 | 建置全廠防毒系統 導入端點防護措施,阻擋惡意軟體侵害 |
|
應用程式安全 | 制定標準化程式開發流程 強化應用程式安全控管 |
|
供應鏈資訊安全 | 建立供應商資安檢核機制 傳達公司資安規定與注意事項 |
|
資料安全保護技術強化 | 文件依照機密等級分類並保護 控管USB存取 郵件外寄控管 |
|
更新時間:2024/07 |
檢討與持續改善 | 說明 | |
---|---|---|
教育訓練與宣導 | 定期進行郵件社交工程演練 定期舉辦員工資安教育訓練,提升資安意識 |
|
更新時間:2024/07 |
資訊安全目標:
分類 | 項目 | 2023年目標 | 2023年實績 |
---|---|---|---|
機密性 | 未經授權取得或使用機敏文件次數 | 0次 | 0次 |
完整性 | 社交工程演練點擊及附件開啟率 | 小於2% | 0.23% |
OA Client Hot-Fix佈署完成率 | 大於99% | 99% | |
可用性 | OA系統中斷時間 | 小於30分鐘 | 0 |
OA資料庫中斷時間 | 小於30分鐘 | 0 | |
註:資安防護力指標依每月資安評比加權計算 | |||
更新時間:2024/07 |