風險管理 返回

風險管理政策與程序

為強化公司治理並健全風險管理作業,以合理確保本公司永續經營與發展,本公司已於民國109年11月4日董事會決議通過訂定「風險管理政策」,並透過風險評估及辨識、確認、擬定措施、定期檢視,以落實風險管理之執行。

風險管理範疇:
本政策管理所有對營運及獲利可能造成影響之各種策略、營運、財務等潛在的風險,風險類型包括但不限於以下類型,例如財務風險、產品風險、市場變動風險、客戶服務風險、資訊安全風險、人力資源風險及職業安全風險等。

風險管理組織架構與職掌:
一、董事會

本公司董事會為公司風險管理之最高單位,負責核准、審閱及監督公司風險管理政策,以遵循法令,確保風險管理之有效性,推動並落實整體風險管理為目標。

二、風險管理小組之組織架構

風險管理小組為負責執行風險管理之權責單位,由總經理擔任召集人,成立跨部門小組,定期聽取各單位主管之報告。各單位主管負有風險管理之責任,須負起單位內作業的最初風險辨識、評估及管控的考量與防範之責,並確保風險管理及控制之機制與程序能有效執行。

三、風險管理小組工作職掌

  1. 綜理本公司整體之風險管理,擬訂風險管理政策、架構、組織及機制,並隨時注意國內外法令變動,據以檢討修訂本政策。
  2. 每年定期向董事會提出風險管理政策執行情形之報告,並提出必要之改善建議。
  3. 依據內外部環境變化與董事會之決議,設定風險控制管理之優先順序。
  4. 其他經董事會決議指示應辦理之事項。
  5. 檢視各單位風險控制管理報告,追蹤執行與改善進度。
  6. 定期追蹤各單位風險管理執行狀況。

運作情形:
本公司自109年起推動並落實風險管理機制,由總經理負責統籌風險管理工作,並每年一次向董事會報告風險管理運作情形,已於114年1月15日董事會報告113年度風險管理運作情形。  

資訊安全政策

為揭示本公司對資訊安全之重視,建立資訊安全管理機制以確實掌握資訊設備及網路安全,保障公司作業電腦化規劃及資料處理之機密性、可用性及完整性,當資安風險或緊急事件發生時,本公司具備應變處置原則及能力,以確保業務迅速恢復正常運作,特制定 資訊安全政策

管理架構
本公司資訊安全之權責單位為管理部,負責訂定公司資訊安全政策,規劃資訊安全措施,並執行相關資訊安全作業,下設資安專責主管1名及專責人員2名。
本公司稽核室為資訊安全風險查核單位,依據內部控制管理程序及電腦化資訊循環作業辦法,每年定期執行資訊安全檢查,若有發現缺失或資安事件,旋即要求受查單位提出相關改善計畫並呈報董事會,定期追蹤改善成效,使資通安全檢查制度持續穩健落實,並不定期執行資安會議,以降低資安風險。

管理機制與投入資源

  • 制度規範:訂定「電腦化資訊系統管理制度」,規範本公司資訊運作環境及人員資訊安全行為,並依資通安全法規與營運環境變遷,擬定及修訂資通安全防護機制與方案。
  • 軟硬體維護:推展各項應用系統,協助與電腦相關之自動化作業,促進各部門對電腦軟、硬體之充分有效使用,並建置各式資安防護措施,以提升整體資訊環境之安全性。
  • 人員訓練:每年定期舉辦社交工程演練與每季資安宣導,提升員工對資訊安全之危機意識與應變能力,並透過外部教育訓練提升資安人員的專業職能。
  • 企業永續運作:已建置完善資料備份與異地備援機制,每年定期實施災難復原計畫演練,確保資料備份的正確性與有效性。
  • 外部資源︰加入TWCERT/CC資安聯盟(台灣電腦網路危機處理暨協調中心),與聯盟成員共享資安相關訊息。

管理方案
相關資訊安全具體執行措施如下:

 項目  具體措施
 電腦系統安全管理
  • 設置防火牆以阻擋外部網路攻擊
  • 電腦皆安裝防毒軟體,定期更新病毒碼及排程掃描,降低病毒感染機會
  • 伺服器每小時同步備份,定期異地存放
 網路安全管理
  • 配置上網行為管理與過濾設備,控管網際網路的存取,屏蔽訪問有害或政策不允許的網路位址與內容,強化網路安全並防止頻寬資源被不當占用
  • 採用多層式防毒與垃圾郵件過濾系統,管控郵件安全
  • 用戶端連線採行雙因子驗證,提供安全登入認證機制
 實體及安全環境管理
  • 本公司伺服器與網路設備均設置於專用機房,機房門禁採用感應刷卡進出,且保留進出紀錄存查。
  • 機房消防設施與保全整合,減少災難損害
  • 每年第三季定期進行災難復原演練,並呈核報告
 資訊/系統存取控制
  •  資料存儲依帳號權限嚴格管控
  •  建立筆電及手機裝置之遠端連線與安全認證
 個資管理
  • 供應商合約加註保密條款,規範個資及機密資料保管之責
  • 紙本合約於保存年限後,由管理部統一銷毀