公司治理之單位及執行
本公司已設置專職人員負責公司治理相關事務,包括提供董事執行業務所需資料、辦理董事會及股東會之會議相關事宜、辦理公司登記及變更登記、製作董事會及股東會議事錄等。
強化與利害關係人溝通管道
本公司本著誠信踏實經營理念,與供應商、客戶及利害關係人(包括往來銀行、其他債權人、員工等)保持暢通的溝通管道,公司網頁之投資人專區下設有「利害關係人專區」,說明及提供利害關係人與公司間有效之溝通管道。
強化董事會職能
本公司之董事及獨立董事均具有產業專業背景及經營管理實務經驗,本公司隨時提供董事及獨立董事需注意之相關法規資訊,並不定期函知或安排董事及獨立董事參加與公司治理主題相關與企業永續發展之研討會或進修課程,及參加公司辦理有關財務業務之內部訓練。
誠信經營
大眾投控履行企業誠信經營並遵守上市上櫃公司誠信經營守則,制定「誠信經營作業程序及行為指南」,為落實誠信經營,新進人員聘任通知書中,已有明訂廉能誠信等條款,並要求每位新進人員務必詳閱後,予以簽署。內部獎懲辦法明訂,不得因業務關係接受不當利益,如有違反且情節重大者,將受免職之處分或移送司法機關究辦。為加強公司誠信經營資訊揭露,於「誠信經營作業程序及行為指南」訂定檢舉制度,於公司網站設有檢舉信箱,提供檢舉受理管道。
防範內線交易
公司訂有「內部重大資訊處理暨防範內線交易管理作業程序」,禁止內部人利用市場上未公開資訊買賣有價證券獲利。
宣導與教育訓練
自112年起每年辦理一次線上宣導及教育訓練,包含內線交易防範及誠信經營與道德行為準則等相關之宣導課程,並於教育訓練後立即進行線上測驗。
本公司於112年3月29日經董事會決議通過,任命本公司財務主管林東興擔任本公司治理主管,負責公司治理相關事務。該主管於公開發行公司從事財務及股務相關事務單位之主管職務達三年以上,符合「上市公司董事會設置及行使職權應遵循事項要點」第 23 條所定之公司治理主管資格。
職權範圍
依據「上市公司董事會設置及行使職權應遵循事項要點」,公司治理主管負責公司治理相關事務,主要包括下列內容:
- 依法辦理董事會及股東會之會議相關事宜。
- 製作董事會及股東會議事錄。
- 協助董事就任及持續進修。
- 提供董事執行業務所需之資料。
- 協助董事遵循法令。
- 向董事會報告其就獨立董事於提名、選任時及任職期間內資格是否符合相關法令規章之檢視結果。
- 辦理董事異動相關事宜。
- 其他依公司章程或契約所訂定之事項等。
112年度業務執行重點
協助董事長及委員會主席辦理董事常會、審計委員會常會以及112年度股東會,包含規劃及擬訂議程、於法定時限內寄發開會通知及提供會議所需資料,並於會後製作議事錄。辦理111年度董事會績效評估;提供董事持續進修資訊;提供董事執行業務所需資料;向董事會報告遵循法令相關事宜,以及即時處理董事要求事項等。
112年度公司治理主管進修情形
課程日期 | 課程主題 | 主辦單位 | 上課時數 |
07/13 | 上市櫃公司永續發展行動方案宣導會 | 台灣證券交易所、證券櫃檯買賣中心 | 3小時 |
09/04 | 第十四屆臺北公司治理論壇 | 金融監督管理委員會 | 6小時 |
10/13 | 112年度防範內線交易宣導會 | 財團法人中華民國證券暨期貨市場發展基金會 | 3小時 |
11/29 | 112年度內部人股權交易法律遵循宣導書說明會 | 財團法人中華民國證券暨期貨市場發展基金會 | 3小時 |
12/14 | 聊天機器人ChatGPT的技術發展與應用商機 | 財團法人中華民國證券暨期貨市場發展基金會 | 3小時 |
12/14 | 2024年全球經濟情勢展望 | 財團法人中華民國證券暨期貨市場發展基金會 | 3小時 |
資通安全管理策略與架構
資通安全風險管理架構
本公司於民國112年成立「資安管理委員會」,並依職能區分文件小組、風險小組及稽核小組,負責規劃本公司整體資訊安全管理架構及發展,訂定資安政策、目標及制度,遵循ISO 27001框架進行資訊資產風險管理及資安制度執行和查核。
另也於民國112年12月25日成立「資訊安全管理部門」,專責公司資訊安全政策推動、落實資安機制及提升公司員工資安意識,並主導「資安管理委員會」運行,將推動及執行結果向上呈報總管理處最高主管、董事長。
稽核室為本公司制度監理之查核單位,兼任「資安管理委員會」之稽核小組,每年將資通安全管理檢查列入年度稽核計畫,並將查核結果定期(至少一年一次)呈報董事會,定期追蹤改善成效。
「資安管理委員會」透過每年召開一次的管理審查會議,審核過往決議的處理狀態、了解資安風險的分析及稽核結果,以確保資訊安全管理持續運作及落實,並評估改善的機會。
此外,為提升資通安全及降低營運風險,本公司每年委託會計師事務所電腦審計部之專業查核團隊及外部專業驗證機構,針對資安全管理進行定期性查核,並彙報查核結果及提出相關改善建議事項。
資訊安全管理架構
資通安全政策
遵循「公開發行公司建立內部控制制度處理準則」第九條有關「電腦化資訊系統處理」之規範,及ISO 27001資訊安全管理系統的管理框架,建立符合規範之資通安全政策。
本公司資訊安全目標為確保核心系統管理業務之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)與法遵性(Compliance),並依各階層與職能定 義及量測資訊安全績效之量化指標,以確認資訊安全管理系統實施狀況及是否達成資訊安全目標。
- 制定資訊安全管理規範並定期檢視相關規章,且舉辦資訊安全教育訓練,強化員工之資訊安全意識及其對相關責任之認知。
- 保護公司業務活動相關資訊,強化資料安全性,避免未經授權之存取與竄改等不當使用之情事。
- 確保本公司重要資訊管理系統維持穩定可供服務使用。
- 建置資訊安全監控自動化與強化防禦預警能力,降低資訊遭受未經授權之入侵、惡意破壞或洩露等攻擊行為。
- 確實落實日常運維之標準化作業程序,並定期進行內部稽核及外部查核,確保內部控制制度及相關作業程序之有效性。
- 遵循我國相關法律(如:個人資料保護法、營業秘密法、智財權相關法律),避免本公司或第三方人士權益受侵害
具體管理方案
- 遵循ISO 27001資訊安全管理的國際標準,制定本公司資訊安全管理系統架構、實施、維護以及持續改善的準則。
- 鑑別所有資訊資產,將重要的資訊資產作成清冊並指派專人管理,每年定期執行風險評鑑並處理風險。
- 增進網路及應用系統安全,導入端點防護機制、應用系統弱點掃描及源碼掃描、改善備份設備和管理、導入雙因子認證等。
- 制定營運持續計畫及測試演練,針對本公司關鍵營運流程或活動,預先規劃中斷時之復原步驟,以使本公司遭遇資訊安全事件影響營運時,能在最短的時間內回復正常營運。
- 建立資訊安全事故管理程序,並對資訊安全事件/事故訂定分級標準,以便快速、有效的反應,降低或消除資訊安全事件所可能帶來的衝擊與傷害。
- 定期舉辦社交工程釣魚郵件演練,提供全體員工資安意識,並針對被釣魚成功員工辦理資安教育訓練以加強宣導。
- 加入TWCERT/CC 「台灣資安聯盟」會員,透過聯盟彼此交換資安情資及重要資安議題的分享,以達資安聯防之目的,增進公司資安防護能力。
投入資通安全管理之資源
- 設有專責之「資訊安全管理」部門,負責公司資訊安全政策推行、資安技術導入及配合相關稽核事項,以確保公司資安管理持續有效。
- 完成防火牆升級優化專案。
- 導入MDR產品,透過資安公司專業協助,隨時監控異常狀況,並及時處理以增強資訊安全防禦能力。
- 建置Log Server,整合保存收集到的大量記錄資料。
- 每半年執行兩次社交工程釣魚郵件演練。
- 建置資訊安全管理系統,發布資訊安全相關政策及程序制度,以使全體同仁得以遵循; 並於[資訊安全學習區]發布相關資訊,包含資安意識訓練簡報和個資法基礎課程等。
- 透過專業顧問公司輔導,強化資訊安全制度,每年(至少一次)召開資訊資產風險評鑑會議及管理審查會議,確保了解風險所在並加以改善。
- 2023年Q4通過ISO 27001 認證,相關資安稽核無重大缺失。
本公司為提升董事會成員職能,依據「上市上櫃公司董事、監察人進修推行要點」及主管機關規範,定期協助董事具備執行職務所需之各項專業知識。本公司現任董事之最近二年度進修情形如下: