示意圖
 home 首頁 > 行政庶務運維

風險控管與內部制度

內部控制

因應新興風險常導致竹科管理局施政績效與民眾滿意度降低,竹科管理局已建立風險管理制度,由局長擔任召集人,各組室主管為委員,每三個月檢視園區各項風險,其中可經由行政手段降低風險項目,均列入風險管理制度。透過內部控制自行評估、內部稽核等作為,精進全局的行政作為,落實並評估興革建議。竹科管理局每年度均依規定完成內部控制自行評估及內部稽核等各項內控作業。科技部亦透過年度查核,掌握竹科管理局之內部控制績效。因應新興風險可能導致竹科管理局施政績效與民眾滿意度降低,竹科管理局已建立風險管理制度,每年度檢視園區各項風險,其中可經由行政手段降低風險項目,均列入風險管理制度。透過內部控制自行評估、內部稽核等作為,精進全局的行政作為,落實並評估興革建議。竹科管理局每年度均依規定完成內部控制自行評估及內部稽核等各項內控作業。科技部亦透過年度查核,掌握竹科管理局之內部控制績效。

風險管理策略暨內部控制制度

風險管理策略

竹科管理局為推動各單位將風險管理及危機處理融入日常作業與決策運作,以降低災害 之可能及後果,達成施政目標、提升機關績效,作為協助各單位推動整合性風險管理之參考依 循,特依行政院所屬各機關風險管理及危機處理作業基準,訂定本局風險管理作業原則。明定 本局風險管理策略如下:

  • 清楚界定本局主要風險,並確認責任區分。
  • 作業前應盤點所需資源,採取必要措施管理風險。
  • 作業中應採納風險管理技術,融入決策過程,並考量成本效益,選擇最經濟有效方式致力持續改善管理措施,以降低風險。
  • 定期檢視本局各項作業流程涉及風險管理之相關措施,並作必要修正。
竹科管理局潛在性風險分布情形圖像

TCFD永續發展風險評估

隨著全球氣候變遷威脅強度愈發劇烈,各家企業組織都將面臨包含極端氣候所帶來的洪水、颶風、地震等實體風險,以及抑制氣候變遷的法規、政策、市場需求等轉型風險。

為了協助企業因應氣候變遷,國際金融穩定委員會(Financial Stability Board, FSB)發佈的《氣候相關財務揭露建議書》(Task Force on Climate-Related Financial Disclosure, TCFD)帶給企業一套更為完善的揭露模型,以鑑別氣候變遷風險和機會並與財務影響做連結,科管局透過TCFD揭露氣候相關財務影響,以評估氣候風險與機會,期能增強組織韌性,並積極與利害關係人溝通。

竹科管理局依循氣候相關財務揭露架構 氣候風險矩陣圖

資訊安全

竹科管理局秉持「資安防護好,你我沒煩惱」之資通安全政策,建立適當的資訊安全管理系統,確保本局重要資訊與通信資產之機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)及法律遵循性(Compliance),以支援本局業務順利推展,並符合資通安全管理法及相關法令之規定。

竹科管理局經行政院於2019年6月14日核定為資通安全責任等級B級機關,為確保資訊的機密性、完整性及可靠性,配合科技部資源向上集中政策,強化內外網縱深防禦、增進資訊設備及網路系統之可靠性,避免資源遭受破壞或不當使用,以提升整體資安防護機制,並已建置資訊安全管理系統,每年依ISO 27001資訊安全管理系統標準進行維運管理,並持續通過第三方驗證。同時,透過「資訊安全委員會」的召開進行資訊安全政策的檢討與資訊安全績效的追蹤,並將「資訊安全事件通報作業」納入內部控制制度,持續加強全體人員的資通安全認知和資安防護意識,以防範潛在資安威脅,進⽽全面提升資安防護水準。

icon 科學園區資安資訊分享與分析中心(SP-ISAC)

配合科技部推動建置「科學園區資安資訊分享與分析中心(SP-ISAC)」平台,主要任務為進行資安風險情資蒐集、交換與分析,截至2020年底,園區全數廠商皆已加入會員,共享國內外資安情資,以達早期預警及緊急應變的防護目標,此外,亦提供園區廠商資安諮詢與協助、舉辦教育訓練培訓廠商資安防護能力,以強化園區資安管控防護能量。SP-ISAC平台提供事件諮詢因應處理技術共1,086次以上,並主動通報園區廠商,所發布情資達1,524筆以上(包含資安趨勢新聞、威脅情資、系統修補安全性建議、威脅IP黑名單等) ,其中,廠商回饋情資件數共20筆,經案件去識別化後,提供案例分享給園區廠商,另外,截至2020年底於新竹科學園區國家高速網路與計算中心辦理資安實務上機訓練課程17場次共529人次參與,包含惡意程式分析、滲透測試操作、弱點掃描分析、攻擊封包惡意行為流量分析、Google hacking&Shodan實務、Linux系統安全與漏洞運用、資安情資分析手法與實務、行動應用APP安全檢測等課程,並辦理1場座談會、2場研討會,共154人次園區廠商與會交流,分享最新資安趨勢,推動科學園區資安聯防機制。

活動照片

個資保護

為為保護及管理個人資料,竹科管理局訂定「科技部新竹科學園區管理局個人資料保護管理要點」,其重點包括設置個人資料保護管理執行小組、於各單位設置專責人員,並明確規範個人資料之蒐集、處理及利用程序、當事人行使權利之處理、個人資料檔案安全維護等,以落實個人資料保護法,善盡個人資料檔案保護之責。

竹科管理局依前揭要點,設置個人資料保護管理執行小組,由局長指定召集人及執行秘書,並由各組室推派科長級以上(部分輔助單位為專員或副研究員以上)人員擔任委員,定期召開會議,研議本局個人資料保護政策。歷次會議重要決議,包括審視各單位個資檔案盤點情形、建立風險管理措施、精進個資事故通報程序等,自各面向推展個資保護管理措施。

竹科管理局依前揭要點,設置個人資料保護管理執行小組,由局長指定召集人及執行秘書,並由各組室推派科長級以上(部分輔助單位為專員或副研究員以上人員)擔任委員,定期召開會議,研議本局個人資料保護政策。歷次會議重要決議,包括審視各單位個資檔案盤點情形、建立風險管理措施、精進個資事故通報程序等,自各面向推展個資保護管理措施。

為輔助各組室個資小組成員推展單位內個人資料保護執行事項,竹科管理局亦於各單位設置個資專責人員,辦理當事人個資請求、個人資料檔案盤點、安全維護、風險評核、協調聯繫、危機處理應變通報等事項。

於規劃個資管理制度,竹科管理局係採取整合現行機制方式,結合既有法規遵循、資安規範及稽核措施等機制,調整建置個資保護管理、稽核等制度,以發揮組織綜效。

竹科管理局對於提倡個資保護意識亦不遺餘力,針對個人資料保護議題,歷年以邀請學者專家專題演講、舉辦「電影欣賞.心得分享」活動、內部簡報宣導等多元方式辦理教育訓練,全面提升內部人員對個人資料保護與管理之能力,以降低營運風險,並創造可信賴之個人資料保護及隱私環境。2019~2020年未有個資外洩之投訴事件發生。