风险管理 返回
风险管理政策与程序
为强化公司治理并健全风险管理作业,以合理确保本公司永续经营与发展,本公司已于民国109年11月4日董事会决议通过订定「风险管理政策」,并透过风险评估及辨识、确认、拟定措施、定期检视,以落实风险管理之执行。
风险管理范畴:
本政策管理所有对营运及获利可能造成影响之各种策略、营运、财务等潜在的风险,风险类型包括但不限于以下类型,例如财务风险、产品风险、市场变动风险、客户服务风险、信息安全风险、人力资源风险及职业安全风险等。
风险管理组织架构与职掌:
一、董事会
本公司董事会为公司风险管理之最高单位,负责核准、审阅及监督公司风险管理政策,以遵循法令,确保风险管理之有效性,推动并落实整体风险管理为目标。二、风险管理小组之组织架构
风险管理小组为负责执行风险管理之权责单位,由总经理担任召集人,成立跨部门小组,定期听取各单位主管之报告。各单位主管负有风险管理之责任,须负起单位内作业的最初风险辨识、评估及管控的考虑与防范之责,并确保风险管理及控制之机制与程序能有效执行。三、风险管理小组工作职掌
- 综理本公司整体之风险管理,拟订风险管理政策、架构、组织及机制,并随时注意国内外法令变动,据以检讨修订本政策。
- 每年定期向董事会提出风险管理政策执行情形之报告,并提出必要之改善建议。
- 依据内外部环境变化与董事会之决议,设定风险控制管理之优先级。
- 其他经董事会决议指示应办理之事项。
- 检视各单位风险控制管理报告,追踪执行与改善进度。
- 定期追踪各单位风险管理执行状况。
运作情形:
本公司自109年起积极推动及落实风险管理机制,由总经理负责统筹风险管理工作,并每年一次向董事会报告,主要运作情形如下:
| 日期 | 会议 | 主要运作情形 |
| 109年11月4日 | 董事会 | 订定「风险管理政策」 |
| 110年3月10日 | 董事会 | 报告各部门拟订之「风险评估及因应措施」 |
| 111年3月9日 | 董事会 | 110年度风险管理运作情形报告 |
| 111年12月23日 | 董事会 | 111年度风险管理运作情形报告 |
信息安全政策
为揭示本公司对信息安全之重视,建立信息安全管理机制以确实掌握信息设备及网络安全,保障公司作业计算机化规划及数据处理之机密性、可用性及完整性,当资安风险或紧急事件发生时,本公司具备应变处置原则及能力,以确保业务迅速恢复正常运作,特制定 信息安全政策 。
管理架构
本公司信息安全之权责单位为管理部,负责订定公司信息安全政策,规划信息安全措施,并执行相关信息安全作业,下设资安专责主管1名及专责人员2名。
本公司稽核室为信息安全风险查核单位,依据内部控制管理程序及计算机化信息循环作业办法,每年定期执行信息安全检查,若有发现缺失或资安事件,旋即要求受查单位提出相关改善计划并呈报董事会,定期追踪改善成效,使资通安全检查制度持续稳健落实,并不定期执行资安会议,以降低资安风险。
管理机制与投入资源
- 制度规范:订定「计算机化信息系统管理制度」,规范本公司信息运作环境及人员信息安全行为,并依资通安全法规与营运环境变迁,拟定及修订资通安全防护机制与方案。
- 软硬件维护:推展各项应用系统,协助与计算机相关之自动化作业,促进各部门对计算机软、硬件之充分有效使用,并建置各式资安防护措施,以提升整体信息环境之安全性。
- 人员训练:每年定期举办社交工程演练与每季资安倡导,提升员工对信息安全之危机意识与应变能力,并透过外部教育训练提升资安人员的专业职能。
- 企业永续运作:已建置完善数据备份与异地备援机制,每年定期实施灾难复原计划演练,确保数据备份的正确性与有效性。
- 外部资源︰加入TWCERT/CC资安联盟(台湾计算机网络危机处理暨协调中心),与联盟成员共享资安相关讯息。
管理方案
相关信息安全具体执行措施如下:
| 项目 | 具体措施 |
| 计算机系统安全管理 |
|
| 网络安全管理 |
|
| 实体及安全环境管理 |
|
| 信息/系统访问控制 |
|
| 个资管理 |
|