示意圖
首頁 > 營運管理 優質服務

風險控管與內部制度

icon 內部控制

因應新興風險常導致竹科管理局施政績效與民眾滿意度降低,竹科管理局已建立風險管理制度,由局長擔任召集人,各組室主管為委員,每三個月檢視園區各項風險,其中可經由行政手段降低風險項目,均列入風險管理制度。透過內部控制自行評估、內部稽核等作為,精進全局的行政作為,落實並評估興革建議。竹科管理局每年度均依規定完成內部控制自行評估及內部稽核等各項內控作業。科技部亦透過年度查核,掌握竹科管理局之內部控制績效。

風險管理暨內部控制制度

icon 資訊安全

依據科技部「電腦機房整併計畫」,於2018年9月完成推動科技部及所屬三園區管理局電腦機房整併事宜,相關資訊系統共110套,亦配合進行移轉,其主要使用對象包含竹科園區廠商及本局業務單位。透過資源向上集中政策,資安統一控管,提升資訊安全性。

依「政府機關(構)資通安全責任等級分級作業規定」,竹科管理局為資安責任等級A級機關,為確保資訊的機密性、完整性及可靠性,並提升資訊設備及網路系統之可靠性,避免資源遭受破壞或不當使用,已建置資訊安全管理系統,每年依ISO 27001資訊管理系統標準進行維運管理,並持續通過第三方驗證。同時,加強局內同仁對資訊安全之認知,並將「資訊安全事件通報作業」納入本局內部控制制度,定期檢討及評估,且每年召開「資訊安全委員會」,定期檢討資訊安全政策,以防範潛在資安威脅及提升資安防護水準。

icon 科學園區資安資訊分享與分析中心(SP-ISAC)

活動照片

配合科技部推動建置「科學園區資安資訊分享與分析中心(SP-ISAC)」平台,截至2018年底,園區已有73%廠商加入會員,共享國內外資安情資,以達早期預警及緊急應變的防護目標。又因應物聯網的興起,資安威脅日益增加,2018年度於新竹科學園區國家高速網路與計算中心辦理資訊安全教育訓練6場次,包含系統日誌分析實務、誘捕系統實務、網路攻防實務、主機效能與系統監控、惡意程式分析及網路行為封包分析等,總計有132家次廠商及165人次資安推動相關人員與會交流,分享最新資安趨勢,推動科學園區資安聯防機制。且本局首次被行政院國家資通安全會報選定為2018年資安稽核受稽機關之一,經過行政院資安團隊進行技術檢測及實地稽核結果,本局獲30個受稽機關前5名殊榮。

icon 個資保護

為保護及管理個人資料,竹科管理局訂定「科技部新竹科學工業園區管理局個人資料保護管理要點」,其重點包括設置個人資料保護管理執行小組、於各單位設置專責人員,並明確規範個人資料之蒐集、處理及利用程序、當事人行使權利之處理、個人資料檔案安全維護等,以落實個人資料保護法,善盡個人資料檔案保護之責。

竹科管理局依前揭要點,設置個人資料保護管理執行小組,由局長指定召集人及執行秘書,並由各組室推派科長級以上(部分輔助單位為專員或副研究員以上)人員擔任委員,定期召開會議,研議本局個人資料保護政策。歷次會議重要決議,包括審視各單位個資檔案盤點情形、建立風險管理措施、精進個資事故通報程序等,自各面向推展個資保護管理措施。

為輔助各組室個資小組成員推展單位內個人資料保護執行事項,竹科管理局亦於各單位設置個資專責人員,辦理當事人個資請求、個人資料檔案盤點、安全維護、風險評核、協調聯繫、危機處理應變通報等事項。

於規劃個資管理制度,竹科管理局係採取整合現行機制方式,結合既有法規遵循、資安規範及稽核措施等機制,調整建置個資保護管理、稽核等制度,以發揮組織綜效。

竹科管理局對於提倡個資保護意識亦不遺餘力,針對個人資料保護議題,歷年以邀請學者專家專題演講、舉辦「電影欣賞.心得分享」活動、內部簡報宣導等多元方式辦理教育訓練,全面提升內部人員對個人資料保護與管理之能力,以降低營運風險,並創造可信賴之個人資料保護及隱私環境。 2017~2018年報告期間並未有個資外洩之投訴事件發生。