劉錫麟下午受經濟部工業局主辦「智財治理與內控實務交流論壇」邀請,針對聯發科的智財治理案例進行演講。
劉錫麟指出,聯發科從2007年到2014年,前後發生4大資安事件,包括員工涉嫌將公司大量資料寄到郵件系統、景發科技楊姓和葉姓人員涉嫌透過USB盜拷程式原始碼等機密檔案跳槽競爭對手、袁姓主管涉嫌案件,以及竹北港商鑫澤數碼涉嫌案件。
劉錫麟表示,從這 4大資安事件中,公司了解到,員工正常離職也需要配合管控機制,員工在職需要積極加強溝通。此外,國外競爭者會是公司資訊安全的變數,競爭者也會透過挖角影響公司的競爭力,更需要內部管控來降低公司面對的風險。
面對可能的資安風險,劉錫麟指出,企業要建置完整的智財內控與治理系統,面對可疑的資安風險,每一個例子都需要1年到2年仔細反覆的確認,要做到清楚明確的舉證內容,才能讓外部的調查執法單位有條件進一步追蹤。
在舉證部分,劉錫麟建議,首先,企業內部智財治理管控的網路使用規範都要留記錄,其次員工入職一開始就要說明清楚相關內控規定,再者,企業要持續與員工溝通清楚相關規範。
面對集團和人力不斷擴張,劉錫麟指出,聯發科透過建立資安風險管理、資安系統管理和資訊安全稽核等3個團隊,足以因應可能發生的大量資安事件風險。這些內控流程需要有人監控,聯發科也設立內部控制稽核單位。
在實際操作上,劉錫麟舉例表示,透過內部電子傳簽流程,公司會稽核離職員工每個流程的結果。