風險管理
風險管理政策及程序:
本公司經董事會通過訂定「風險管理辦法」,以作為本公司風險管理之最高指導原則,每年定期評估風險,鑑別出可能對經營目標產生影響的各項風險,並經評估後決定適當的應變措施,以有效降低公司營運風險。本公司隨時注意國內與國際風險管理之發展,據以檢討改進公司所建置之風險管理制度,以提昇風險管理成效,每年至少一次向董事會進行風險管理報告,112年度運作情形已於113年03月14日董事會報告,如附件。
風險管理範疇:
| 風險類型 | 說明 |
|---|---|
| 信用風險 | 客戶、供應商、同行對手或其他業務往來者(包含往來銀行)因本身體質惡化或其他因素,導致客戶、供應商、同行對手或其他業務往來者(包含往來銀行)不履行其契約義務而產生之違約損失風險。 |
| 市場風險 | 市場價格不利之變動,造成資產負債表表內及表外部位可能產生之風險。所謂市場價格指利率、匯率、股票及商品價格等。 |
| 利率風險 | 因利率波動而造成資產負債不利變動之風險。利率變動可能改變利息收入與營業支出而影響盈餘;也可能影響資產負債表表內及表外部位價值。 |
| 流動性風險 | 因無法將資產變現或獲得融資以提供資金靈活運用而可能承受損失之風險。 |
| 作業風險 | 起因於本公司內部作業、人員及系統之不當或失誤,或因外部事件造成損失之風險。包括法律風險。 |
| 供應鏈風險 | 資源與過程相聯結的組合,透過產品或服務之提供,跨越輸送模式至最終使用者之過程中,發生某事件使此過程無法達成或順利進行之風險。 |
| 其他風險 | 指上述以外之其他風險。 |
組織架構:
一、董事會為監督本公司風險管理政策之訂定。
二、總經理室為風險管理規範之擬定,確保董事會所核可風險管理規範之執行。
三、稽核單位以獨立超然之精神執行稽核業務,並適時提供改進建議。
四、風險管理非僅公司風險管理單位或專人之職責,公司內所有功能/部門/單位/業務承辦人均有其相應之責任及需配合之事項,以落實公司整體之風險管理。
資訊安全風險管理
經本公司權責單位資訊室評估,資訊安全風險雖佔本公司營運風險比重較小,但隨著網路環境漸趨複雜,相關風險可能逐年增高,本公司已建置資訊安全管理架構,並制定相關資訊安全管理政策,配置一名資安專責主管及一名資安專責人員,擬定並執行資訊安全具體管理方案,加上稽核單位,進行管理制度內部查核、資訊安全預防及危機處理等監控作業,持續精進內部異常偵測與防護方法,以降低企業資安風險。資訊安全具體管理方案
本公司現階段以既有的資訊安全管理程序來落實資訊安全風險管理。相關具體執行措施如下:網路安全管理
1.配置企業級防火牆,阻擋駭客非法入侵。
2.與分公司及外點使用SSL VPN的連線作業,使用資料加密方式,避免資料傳輸過程遭到非法擷取。
3.配置上網行為管理系統,控管網路存取,可屏蔽訪問有害或政策不允許的網址及內容,強化網路安全且防止頻寬被不當佔用。
系統存取控制
1.公司內各應用系統的使用,需透過資訊服務需求申請程序,經權責主管核准後,由資訊單位建立帳號,且經過系統管理員依所申請之功能開放權限,方得使用。
2.帳號的密碼設置,需符合文數字參雜規定,才能通過。
3.同仁辦理離職手續時,需會辦資訊單位,進行各系統帳號刪除作業。
落實資安訓練
1.定期對員工進行資訊安全宣導,不定期實施資訊安全教育訓練,以提高同仁對資訊安全認知的重要性。
2.在各系統作業,皆有彈跳視窗溫馨提醒注意資安事項。
病毒防護與管理
1.伺服器與同仁電腦設備皆安裝端點防護軟體,病毒碼採自動更新,確保能阻擋最新型病毒。
2.電子郵件伺服器配置有垃圾信過濾機制,防堵病毒或垃圾郵件進入使用者端PC。
確保系統可用性
1.建置備份管理系統,定期將每日備份的資料,一份保留在機房,另一份放於異地,互相備援。
2.定期實施災難復原演練,選定還原基準點後,由備份檔回存於系統主機。
電腦設備安全管理
1.本公司電腦主機、各應用伺服器等皆設置於專用機房,機房門禁採感應式刷卡進出,且保留記錄存查。
2.資訊機房內有獨立空調及不斷電系統並備有發電機,以維持電腦設備於適合的溫度下運轉,斷電時不會中斷電腦應用系統的運作。
3.建置設備管理系統,需經過公司認證之移動裝置及裝置才可連線至公司內網及存取資料。
投入資安管理之資源
1.使用Veritas backup exec備份軟體
2.採用Sharetech Next Generation UTM防禦管理平台
3.定期執行主機系統及網站之弱點掃描
