風險因應

1. 供應鏈減碳 (參見:供應鏈管理)

2. 人才培育 (參見:人才招募)

3. 市場競爭 (參見:公司簡介)

風險管理政策與程序
本公司2021年訂定「風險管理政策與程序辦法」,並經董事會通過,作為本公司風險管理之最高指導原則;本公司每年定期由風險管理小組進行風險因子鑑別,藉以辨識可能影響企業永續發展的相關風險,篩選出風險管理範疇,並依據最新內部稽核之發展及準則要求,監測潛在風險並實行預防措施,以強化風險管理;針對各項風險擬定風險管理政策,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,將因業務活動所產生的各項風險控制在可接受的範圍。

 


本公司每年向董事會報告風險管理運作情形,113年度風險管理運作報告,已於113/11/5列為董事會報告案。
營運風險:本公司113年度,每月都會進行集團營運管理檢討會議,針對營運面風險,做出鑑別及處理方針。
財務風險:本公司註冊地為開曼群島,無實質經濟活動,主要營運地為中國大陸及台灣,本集團各項業務之執行均依照國內外重要政策及法令規定辦理,隨時注意所在國家地區重要政策及法律變動之訊息,透過各項管道及早做好預防準備工作,若有變動事項則向律師、會計師等相關單位諮詢,或委由其評估並規劃因應措施,以及時因應市場變化並採取適當因應措施。
作業風險:本公司持續進行「資通安全管理」,針對資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等方面精進。
環境風險:本公司已於2022/10/12成立AES永續委員會,持續執行循環經濟、綠色創新、關懷社會、誠信正直等議題的解決方案,本公司112年度永續報告書於113/8/31編制完成,並已上傳公開資訊觀測站。
 

資通安全管理

(一)、資通安全管理方案:

 

1.資通安全風險管理架構

 

本公司之高階主管會定期關注資通安全議題,且資通安全權責單位為資訊部,負責規劃資通安全相關規範並落實,資訊部主管會定期參與企業內部資訊安全相關會議,並定期關注資通安全相關議題;此外稽核室為資通安全監理之查核單位,每年會就內部控制制度—電子計算機循環,進行資通安全查核,藉以評估公司資訊作業內部控制之有效性。

 

2.資通安全政策

 

本公司於民國109年開始推行(Trusted Information Security Assessment Exchange,TISAX),針對資訊安全管理系統(Information Security Management System, ISMS)及原型保護(Prototype protection)等二個模塊的自評表進行評估及風險評估及處置,於民國109年12月取得TISAX AL2證書,接續進行持續改善並經第三方驗證公司認證,於112年2月取得TISAX AL3系統認證。本公司IT管理體系持續遵循ISMS規範訂定資通安全政策與資安管理規範;以維護重要資產的機密性、完整性、與可用性。:

 

為保護公司所屬資訊資產免於受到遭受蓄意或意外之破壞,並確保企業永續經營,制定本資訊安全政策,以確認本公司重要資訊資產之安全,包含:

  (1) 機密性(Confidentiality):確保只有獲得合法授權的使用者可以存取資訊。

  (2) 完整性(Integrity):保障資訊與資訊處理方法的正確與完整性。
  (3) 可用性(Availability):確保獲得授權的使用者於有需求時能適時存取資訊及相關資產。

 

透過本政策之管理,明確宣示本公司支持資訊安全之目標,及使相關人員有所依循,並適切合乎本公司對資訊安全之要求及相關法令之規範,以降低任何資訊安全事件所帶來之衝擊,並持續運作及改善資訊安全管理系統同時保障本公司與客戶之權益。

 

3.資通安全具體管理方案

 

本公司資訊部制定資訊系統管理程序,其適用範圍為使用公司電腦資訊系統與企業網路資源均適用之,希望藉由此程序之制定與同仁對制度的落實來確保公司資訊資料之正確性及安全性,提供管理資訊並協助各單位資料之處理,管理程序主要控管內容包含下列事項:
(1) 電腦系統資源之使用與取消
規範同仁在工作上所需使用之電腦系統資源的使用控管要求,包含PC/NB的使用申請、電腦軟體安裝、公務NB攜出廠外之上網功能控管以及離職人員之電腦資源使用權及帳號之取消等。
 
(2) 資料備份與災害復原
規範資訊資料備份作業之控管要求,依照定義好之備份週期,於備份軟體設定之排程,將伺服器資料檔案及資料庫資料備份至磁帶或異地硬碟櫃。備份軟體備份工作成功或失敗會發出通知Email,管理人員需即時處理與解決備份異常,確保備份正確完成。當災害發生時需進行資料復原作業,並訂定相關單位之權責以及要求管理人員需定期(每半年且不定時)實施災害復原測試。
 
(3) 電腦病毒管理
規範公司針對電腦病毒之防範作法,包含所屬之電腦皆須安裝公司授權之防毒軟體並定期更新病毒碼、需透過Windows Update伺服器定期進行系統與安全性更新、透過Proxy和防火牆控管Internet行為。
 
(4) 電子郵件管理
規範電子郵件之使用規則,包含收件人數管理、電子郵件單封容量大小、私人Email收發管理和外部收發公司郵件等管理規則。
 
(5) 上網使用管理
規範上網之使用需經過申請,且禁止瀏覽與遊戲、購物、音頻、賭博、社群網站、違法或暴力、廣告、成人資訊、免費網路資源、以爭議與來源不明之網站和特別列管之網站等非公務性質網站。
 
(6) 遠端存取管理
規範公司員工若因出差或其他公務需要由異地經外部網路連回公司使用內部服務,需透過VPN以確保安全。VPN使用權限須經過申請並搭配個人行動裝置使用OTP雙因認證,且資訊部會每半年不定期的檢視VPN使用情況,針對超過6個月以上未登入之帳號經確認後關閉其權限。
 
(7) 資訊機房管理
規範資訊機房應設置門禁管制、針對未具資訊機房進出權限人員之控管要求,以及對機房溫溼度、UPS不斷電系統、機房環境與設備運作狀態檢查等日常管理作業,並有機房環控系統監控與記錄環境與設備狀態,自動發送異常告警通知管理員進行即時處置。
 
(8)每月召開資訊安全會議,核實與檢討資安政策與資訊管理方案之落實狀況。

 

(二)、本公司遵循ISO27001 管理體系之PDCA精神進行資訊安全治理,已按權責機關規定設置資訊安全主管及資訊安全專員各1名,每年定期檢討規範文件之修訂、每年進行二次弱點掃瞄並於修補漏洞後進行覆掃以確認有效性、每年至少召開1次資訊安全管理審查會議持續檢討改進。

 

(三)、最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。本公司113年度無重大資安事件導致營業損害之情事。