Ethical Corporate Management

誠信透明
誠信透明
信守承諾的企業

本公司為恪遵法令及謹守道德規範之企業,持續強化公司治理與風險控管機制,並透過完整的教育訓練與宣導,以深化全體員工的從業道德,實踐產業共好,成為最值得信賴的公司。

100

職業道德受訓人數共計2,366人 合計7,098小時,訓練涵蓋率100%。

20

第十屆公司治理評鑑 上市公司排名前20%

0

0違反資訊客訴案件 取得ISO 27001認證
誠信經營 貪腐案件:0件
重大違法情事:0件
職業道德訓練涵蓋率100%
誠信經營 貪腐案件:0件
重大違法情事:0件
職業道德訓練涵蓋率100%
誠信經營 貪腐案件:0件
重大違法情事:0件
職業道德訓練涵蓋率100%
誠信經營 恪遵法令及謹守道德規範,秉持「勤勞樸實」企業文化精神,以廉潔誠信、公平透明、自律負責之經營理念,制定落實各項道德規範政策,謀求本公司之永續發展。
公司治理

福懋科技依循相關法規以有制度的公司治理機制,鞏固公司營運,確保利害關係人之權益。本公司於2023年蟬連「臺灣就業99指數」成份股,並於第十屆公司治理評鑑之上市公司排名前20%,在公司治理面的持續努力深獲肯定。

福懋科技治理架構
風險管理

全球化和技術進步使得商業環境變得更加複雜,氣候變遷、地緣政治風險和全球供應鏈中斷等全球性的問題,更對企業產生直接或間接的潛在影響。面對多變且充滿不確定的環境,福懋科技參考COSO 企業風險管理架構的精神,逐步建立全面性風險管理制度並強化風險文化,期許能成為一個更具韌性、更穩健和更具競爭力的企業。

風險管理委員會組織圖
風險管理流程

我們於2023 年持續以敏感度分析和壓力測試等風險管理工具,用以評估於缺水、停電、因資安事件導致與生產相關之資訊系統停止運作,及生產關鍵原物料價格波動等非財務面關鍵風險因子在不同情境下對企業於產值、營收、毛利率等的潛在影響,以強化對企業面臨之風險和機會有更全面的了解,進而制定相應的風險管理和控制策略。

企業經營風險

針對企業經營風險,福懋科技每年就總經理室提出之風險項目進行鑑別,並對鑑別後之風險項目考量發生頻率、衝擊程度判定各項風險等級並採取因應措施,2023 年共提出218 項風險項目,無立即需改善項目、須規劃並執行風險控制措施7 項、設定指標監控140 項、須持續觀察71 項。

資安風險及因應措施

福懋科技為保護公司與客戶資訊的安全,積極推動全公司之資訊安全制度,已於2022年取得ISO 27001:2013 資訊安全管理系統認證(適用日期:2022/5/15~2025/5/15),以期能獲得各關注方對本公司資訊安全之信賴。

為確保及維護整體資訊安全,建立安全及可信賴之電子化環境,本公司已訂定資訊安全政策,以作為本公司發展及強化資訊安全之基礎架構。為保護本公司資訊資產的安全,公司所有同仁均有義務協助資訊安全的推動,使資訊安全機制能順利推動與執行。本公司之管理階層已明定資訊安全的發展方向,並展現對資訊安全的支持與承諾。資訊安全聲明是本公司資訊安全的最高指導原則,亦為本公司對資訊安全堅定的承諾,本公司的資訊安全聲明如下:『確保資訊資產之機密性、可用性與完整性,以保障客戶、公司、股東、員工及供應商之權益,並能善盡社會責任。』
本公司推動資訊安全的範圍如下:
  • 建立資訊安全組織管理,定期檢視各項資訊安全防護措施及規章,並推動項資訊安全工作。
  • 推動新進人員、現有員工及外部人員之資訊安全教育訓練及宣導,使所有人員了解本公司對於資訊安全的規定與要求,以降低欺騙、洩密及誤用設備等風險,並了解資訊安全的威脅及問題、自己的責任及義務,並能支持公司之資訊安全政策。另在人員離職或調職時,執行完整資訊安全管控程序,避免造成資安風險。
  • 為避免資訊互連所造成的資安風險,本公司採縱深防禦架構,建立防火牆、惡意網址過濾、病毒防禦、電子郵件病毒與內容安全過濾及電腦系統更新修補程式,確保員工上網與發送電子郵件安全,並降低洩密的風險。
  • 建立系統存取身份認證、可攜式儲存設備(如 USB)管理與實體門禁管理,以控管人員及資訊的存取,避免未經授權的人存取系統、資訊、資訊處理設備及網路等。
  • 為確保業務永續經營,定期執行資訊系統備份與災難演練,以確保關鍵業務活動能及時恢復運作。
  • 每年定期舉行全公司性資訊安全稽核,以避免違反法律、法規、合約義務與安全需求等。
  • 建立資訊安全事件通報程序,以確保資訊安全事件發生時,皆能被及時的溝通與處理。
面對科技日新月異,本公司針對各項外部新的威脅與內部的弱點,建立定期推動安全防護之技術升級,並落實各項資訊安全教育訓練,以降低資訊安全的風險。
資通安全管理

福懋科技為保護公司與客戶資訊的安全,積極推動全公司之資訊安全制度,已於2022年取得ISO 27001:2013 資訊安全管理系統認證(適用日期:2022/5/15~2025/5/15),以期能獲得各關注方對本公司資訊安全之信賴。

ISO/IEC 27001:2013
資訊安全組織架構

本公司之資訊安全政策聲明為:『確保資訊資產之機密性、可用性與完整性,以保障客戶、公司、股東、員工及供應商之權益,並能善盡社會責任。』

成立跨部門之資訊安全委員會,由總經理擔任召集人,並由各部門一級主管主管擔任委員,成員分別為資訊安全委員會主委(資訊中心最高主管)、總經理室、財務部、行政部、品經部、研發中心、營業部、生管部、廠務部、資訊中心及各生產單位。

資訊安全委員會定期召開,主要負責資訊安全政策、目標及相關規範之規劃擬定、核准及督導,並向董事會報告資訊安全管理之成效。

設置資安長,由資訊中心最高主管擔任,資安專責人員共四名,專責推動資安營運持續計畫、資訊資產盤點及辦理資安風險評估作業,建立並執行相對應的管理制度與技術防護,以維護資訊安全為目標。

營運持續與演練:

我們依據資訊系統對營運影響程度做等級分類,說明如下:
等級 說明 演練頻率 備份頻率
A 重要主機 每1年至少1次 每日
B 主要主機 每2年至少1次 每週
C 一般主機 每3年至少1次 每季
D 其他主機 不定期 每半年
重要主機設有多重備援機制,放置於不同媒體與異廠機房。每年依等級進行演練,2022年A級主機執行率100%。
更新時間:2023/08

資安教育訓練與目標:

福懋科技每年定期舉辦全體員工之公司性資訊安全教育,以提升員工資安防護意識,另針對新進員工,報到後立即進行資訊安全教育,避免新進員工因不熟公司資安規定而違規。

每年至少召開管理審查會議一次、資安會議兩次,必要時得召開臨時會議。

每月舉行資訊安全評比活動,使全體同仁對資訊安全有參與感,並了解公司推動資訊安全的目標與要求。另為降低因社交工程而造成之危害,本公司於每月不定期舉行社交工程演練,提升員工對不明之郵件或連結的資安意識。
課程名稱 對象 人數 人時數 涵蓋率
ISO27001控制項目 資安委員
資安幹事
資安稽核員
44 264 100%
社交工程教育訓練 全體員工 2,389 2,389 100%
資安教育訓練 新進員工 170 170 100%
社交工程訓練 演練點擊員工 168 168 100%
資安設備管理教育訓練 系統管理員 4 16 100%

資訊安全管理成效:

違反資安事件之件數與罰款 2020年 2021年 2022年 2023年
違反資安件數 0 0 0 0
涉及客戶個資之資安件數 0 0 0 0
受到資訊洩露之客戶總數 0 0 0 0
罰款金額 0 0 0 0
更新時間:2024/07

資訊具體管理方案:

多層資安防護 說明
網路安全 定期執行弱點掃描與系統軟體更新
架設WAF、IPS、防火牆及網路安全控管設備
設置郵件附件清洗CDR(Content Disarm and Reconstruction),力求郵件檔案無駭化
裝置安全 建置全廠防毒系統
導入端點防護措施,阻擋惡意軟體侵害
應用程式安全 制定標準化程式開發流程
強化應用程式安全控管
供應鏈資訊安全 建立供應商資安檢核機制
傳達公司資安規定與注意事項
資料安全保護技術強化 文件依照機密等級分類並保護
控管USB存取
郵件外寄控管
更新時間:2024/07
檢討與持續改善 說明
教育訓練與宣導 定期進行郵件社交工程演練
定期舉辦員工資安教育訓練,提升資安意識
更新時間:2024/07

資訊安全目標:

為落實資訊安全管理,並嚴格檢視執行狀況,我們針對資訊安全設定了量化管理目標,2023年針對機密性、完整性及可用性,共設定6項資安目標,全部皆達成目標。
分類 項目 2023年目標 2023年實績
機密性 未經授權取得或使用機敏文件次數 0次 0次
完整性 社交工程演練點擊及附件開啟率 小於2% 0.23%
OA Client Hot-Fix佈署完成率 大於99% 99%
可用性 OA系統中斷時間 小於30分鐘 0
OA資料庫中斷時間 小於30分鐘 0
註:資安防護力指標依每月資安評比加權計算
更新時間:2024/07