風險管理 返回

風險管理政策與程序

為強化公司治理並健全風險管理作業,以合理確保本公司永續經營與發展,本公司已於民國109年11月4日董事會決議通過訂定「風險管理政策」,並透過風險評估及辨識、確認、擬定措施、定期檢視,以落實風險管理之執行。

風險管理範疇:
本政策管理所有對營運及獲利可能造成影響之各種策略、營運、財務等潛在的風險,風險類型包括但不限於以下類型,例如財務風險、產品風險、市場變動風險、客戶服務風險、資訊安全風險、人力資源風險及職業安全風險等。

風險管理組織架構與職掌:
一、董事會

本公司董事會為公司風險管理之最高單位,負責核准、審閱及監督公司風險管理政策,以遵循法令,確保風險管理之有效性,推動並落實整體風險管理為目標。
二、風險管理小組之組織架構
風險管理小組為負責執行風險管理之權責單位,由總經理擔任召集人,成立跨部門小組,定期聽取各單位主管之報告。各單位主管負有風險管理之責任,須負起單位內作業的最初風險辨識、評估及管控的考量與防範之責,並確保風險管理及控制之機制與程序能有效執行。
三、風險管理小組工作職掌
  1. 綜理本公司整體之風險管理,擬訂風險管理政策、架構、組織及機制,並隨時注意國內外法令變動,據以檢討修訂本政策。
  2. 每年定期向董事會提出風險管理政策執行情形之報告,並提出必要之改善建議。
  3. 依據內外部環境變化與董事會之決議,設定風險控制管理之優先順序。
  4. 其他經董事會決議指示應辦理之事項。
  5. 檢視各單位風險控制管理報告,追蹤執行與改善進度。
  6. 定期追蹤各單位風險管理執行狀況。

運作情形:
本公司自109年起積極推動及落實風險管理機制,由總經理負責統籌風險管理工作,並每年一次向董事會報告,主要運作情形如下:
109年:建置資料蒐集表,各單位就其職掌完成業務活動之風險評估及辨識,並依據各項風險擬定因應措施以減低對公司之衝擊。訂定本公司風險管理政策並向董事會報告且決議通過。
 

資訊安全政策

為揭示本公司對資訊安全之重視,建立資訊安全管理機制以確實掌握資訊設備及網路安全,保障公司作業電腦化規劃及資料處理之機密性、可用性及完整性。而當資安風險或緊急事件發生時,本公司具備應變處置原則及能力,以確保業務迅速恢復正常運作,特制定 資訊安全政策

管理架構
本公司資訊安全之主責單位為管理部,負責訂定、推動與落實資訊安全政策。由資訊人員依據專業分工,負責程式開發及軟硬體控管、執行電腦化資訊系統作業,並由管理部主管採行必要之統籌、規劃與更新相關事宜。
本公司稽核室為資訊安全風險之查核單位,依據內部控制管理程序及電腦化資訊循環作業辦法,每年定期執行資訊安全檢查。若有發現缺失或資安事件,立即通知部門主管,要求受查單位提出相關改善計畫與具體作為,且不定期執行資安會議,以降低內部資安風險。2020年無資安事件發生。

管理機制
本公司資訊安全管理機制,包含以下三個面向:

  • 制度規範:內部訂定「電腦化資訊系統管理制度」,以規範本公司資訊運作環境及人員資訊安全行為,不定期依法規符合性與營運環境變遷進行更新。
  • 軟硬體維護:推展各項應用系統,協助與電腦相關之自動化作業,促進各部門對電腦軟、硬體之充分有效使用,並建置各式資安防護措施,以提升整體資訊環境之安全性。
  • 人員訓練:不定期透過外部教育訓練提升資訊人員的專業職能,亦不定期於內部系統公告與業務相關之資安宣導影片或注意事項提醒簡報,以提升全體員工對資訊安全之危機意識與應變能力。

管理方案
相關資訊安全具體執行措施如下:

 項目  具體措施
 電腦系統安全管理  • 設置防火牆以阻擋外部網路攻擊
 • 派送病毒碼作業,降低病毒感染機會
 • 伺服器每小時同步備份,定期異地存放
 網路安全管理  • 系統自動偵測病毒及掃瞄內嵌資訊,管控郵件安全
 • 居家連線辦公因應設施報告
 實體及安全環境管理  • 監控電腦及設備機房溫度,若有異常可立即處理
 • 機房消防設施與保全整合,減少災難損害
 • 每年第三季定期進行災難復原演練,並呈核報告
 資訊/系統存取控制  • 控管各部門資料儲存權限
 • 建立筆電及手機裝置之遠端連線與安全認證
 個資管理  • 供應商合約加註保密條款,規範個資及機密資料保管之責
 • 紙本合約於保存年限後,由管理部統一銷毀
註:本公司尚未投保資安險,未來將配合法令規定予以執行。