公司治理及規章
公司治理執行
喬越深刻理解,遵守法律法規是公司治理的根本。
為此,我們創建了明確且系統化的合規管理機制,並將合規理念融入到政策制定、流程式控制管、文檔審查與用印管理的各個環節,確保公司在穩健的軌道上永續發展。為確保所有商業活動的合規性,公司已創建一套完善的內部控制流程。
所有需要簽署的合約、協議書,以及需要加蓋公司印鑒的文檔,均須通過公司內部的BPM系統進行線上申請。喬越將保護公司的無形資產視為營運的內核要素之一,並通過制度與教育雙軌並行,深化全體同仁的合規意識。在制度上,喬越制定《員工保密規範》,明確要求全體員工遵守《營業秘密法》《專利法》等相關法律。
在教育上,每季固定於公司季會議中,規劃安排至少一場法治教育訓練課程。訓練內容不僅涵蓋保密義務與知識產權的合法使用方式,更擴及《公司法》《證券交易法》實務、內線交易防範、個人數據保護、反賄賂及利益衝突等重要議題。
訓練對象涵蓋董事、經理人,以及全體員工,並通過考試檢核與成效追蹤,確保所有同仁均能明確理解並遵循法律,避免誤觸律的紅線。
憑藉著穩固的合規文化與嚴謹的管理體系,公司在2024年未有任何訴或裁罰紀錄。
內部稽核組織及運作
本公司內部稽核為獨立單位,直接隸屬董事會;除於董事會例行會議中報告外,並於必要時即時向董事長及總經理報告,以落實公司治理之精神。
本公司訂有內部稽核實施細則,明定內部稽核負責覆核公司作業程序之內部控制,並評估該等控制之設計及例行實務作業是否適當,以達成內部控制制度之目的;內部控制制度及稽核範圍涵蓋本公司所有作業及其子公司。
稽核工作主要依據董事會通過之年度稽核計畫執行,該計畫係依已辨識之風險擬訂,並視需要執行專案稽核。綜合年度稽核及專案稽核之執行結果,提供管理階層內部控制功能運作狀況,並作為管理階層即時掌握既存或潛在內部控制缺失之重要管道。內部稽核於完成稽核計畫之查核作業後,出具書面稽核報告及追蹤報告,並定期送交各監察人查閱。
內部稽核覆核各單位執行內部控制制度自行評估作業之情形,檢查其是否確實執行並覆核相關文件,以確保執行品質;並綜合自行評估結果及所發現之內部控制缺失與改善情形,向董事會、董事長及總經理報告,作為出具內部控制聲明書之依據。
本公司內部稽核單位配置稽核主管1人;各子公司則依其規模、業務性質、管理需要及相關法令規定,配置適任且適當人數之內部稽核人員,並由本公司內部稽核單位負責對其稽核業務進行監理。另依公司治理實務守則第三條規定,內部稽核人員之任免、考評及薪資報酬,均由稽核主管簽報董事長核定,相關公司治理實務守則已揭露於本公司官網之公司治理專區。
喬越對於誠信政策的施行,係將企業反貪腐之治理列為首要工作重點
公司制定《員工廉潔規範》,明確規範員工在執行職務時應遵守的道德與合規標準,如不得收受或提供任何形式的不當利益、不得與供應商或客戶有私下利益往來、應主動申報利益衝突等。此外,喬越與供應商、承攬商、合作夥伴等簽訂合約時,明確載明反貪腐與商業道德條款,雙方須承諾不得進行賄賂、回扣、利益交換等不法行為,違反者本公司得立即終止合作。此外,公司十分重視市場公平競爭秩序,於與客戶、供應商或其他業務合作夥伴簽署之合約中,明定不得從事違反公平交易法或其他不正當競爭行為,如不得誇大不實廣告、不得侵害他人商業機密、不得進行價格壟斷或惡性競爭等。若合作對象違反,得視情節立即解除契約,並保留法律追訴權利。
資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源
本公司鑒於資通安全係公司營運之基礎,已建立資訊安全管理架構,並依據內部控制制度及《資訊安全管理辦法》推動相關作業。目前公司設置資訊安全長及資安專責人員,年底向董事會彙報年度資安執行情形。本公司就資通安全風險管理架構、資訊安全政策、具體管理方案及投資通安全管理之資源說明如下:
1. 資通安全風險管理架構:
(1) 本公司由董事長指派資訊安全長統籌資訊安全管理作業,資訊安全長依據公司資安政策規劃執行方向,並召開資安管理委員會,以確保資訊安全運作之有效性。
(2) 資訊安全長定期召開資訊稽核及管理檢討會議,並向總經理或董事會提出資訊安全稽核與改善執行情形。
(3) 資訊服務部(資訊單位)負責資訊設備、系統維護、帳號權限、備份管理、防火牆與防毒設備維護等技術性資訊安全控制作業。
(4) 各使用單位負責依權責使用資訊系統、維護資料正確性並落實系統作業程序之遵循。
(5) 海內外各據點資訊作業由資訊主管統籌指揮,並定期回報資安執行情形,以確保資安管控一致性。
2. 資訊安全政策目標如下:
(1) 確保公司資訊系統持續運作,以維持營運不中斷與業務之穩定度。
(2) 確保公司資訊與客戶資料之機密性、完整性與可用性,避免遭未授權存取、竄改或外洩。
(3) 確保公司資訊系統具備異地備援能力與災害回復能力,以保障公司營運之連續性。
(4) 確立資訊資產分類與存取制度,確保資訊於蒐集、使用、處理及保存期間符合相關法規要求。
(5) 透過教育訓練提升全體員工資訊安全意識,以降低社交工程、惡意軟體或操作疏失等資安風險。
3. 具體管理方案及投入資通安全管理之資源
具體管理方案:
(1) 定期監控公司資訊設備及網路連線狀態,並執行異常事件分析、通報與處置,以維持系統穩定運作。
(2) 公司資訊系統或設備異常時,資訊單位應立即進行排除並啟動災害復原相關程序,以確保資訊可回復性。
(3) 持續推動年度資訊稽核、弱點掃描、安全配置檢查及社交工程演練等活動,以提升資訊安全成熟度。
(4) 資訊安全相關管理制度與作業程序定期檢討與更新,以符合法令及主管機關之要求。
(5) 使用者之帳號權限依「最小授權原則」授予,並定期覆核帳號使用情形及重大權限管理,並強制定期更換密碼。
(6) 定期檢視公司防火牆、伺服器、安全設備與備份媒體之運作情況,並進行演練及檢查紀錄。
(7) 公司人員離職或異動時,即時進行帳號停用及資料移交,以避免資訊外洩風險。
(8) 公司定期召開資訊安全委員會會議,檢視資安計畫執行情形並提出改善方案。
投入資通安全管理之資源:
(1) 入侵偵測/防禦設備(IDS/IPS/APT):建置入侵偵測、防護、分析、通報及通訊監控等資通安全設備。
(2) 防火牆(Firewall):建置防火牆設備強化進出網路流量分析、過濾及阻擋能力。
(3) 防毒軟體(Anti-Virus):於伺服器及使用者端安裝防毒軟體並定期更新病毒碼。
(4) 端點防護(EDR/Endpoint Detection and Response):於重要設備部署端點偵測防護,提升惡意程式之攔截能力。
(5) 異地備援設備:建置 NAS、備份伺服器、備份外接硬碟及異地備份作業程序,以確保資料可回復性。
(6) 資訊系統維護人力與教育訓練:編列年度資安教育訓練預算,提升員工資安意識;設置專責資訊管理人員執行資安作業。
(7) 系統安全改善與稽核資源:投入弱點掃描、滲透測試、資安稽核及制度改善相關費用以提升資訊安全能量。
