风险管理
钧兴机电国际股份有限公司
本公司藉由定期辨识、衡量及监控可能影响企业营运之相关风险,透过风险转移、削减及避免等相关管理策略与因应措施,将可能的风险降至最低,以达到提升公司营运及永续发展之目标。
本公司于2022年8月29日第三届第八次董事会决议通过本公司风险管理法,系依照公司整体营运方针來定义各類风险,在可承受之风险范围内,预防可能的损失,以增加股东价值,并达成公司资源分配之优化。
本公司风险管理组织架构及职掌如下:
单位 |
职掌 |
董事会 |
董事会为风险管理之最高决策单位,核定风险管理政策与架构,监督风险管理机制之有效运作。 |
审计委员会 |
审计委员会审核公司内部控制制度有效性之考核,确保内部控制有效实施并监督公司存在或潜在风险之控管。 |
稽核室 |
依据风险管理政策及风险评估结果拟订年度稽核计划,依计划执行各项职度稽核作业,协助董事会及审计委员会监督及控管执行决策可能潜在之风险,确保各项作业风险均获得有效管控,并适时提出改善建议。 |
总经理室 |
1.负责组织及规画公司整体风险管理。 2.经营决策风险评估及执行因应策略。 3.公司法律风险之评估及执行因应策略。 4.媒体公关及对外联络事宜。 |
各功能部门 |
各部级主管及单位主管负有第一线风险管理之责任,应于日常管理作业中,进行风险评估及管控,强调全员全面风险控管,平时落实层层防范,以有效作好风险管理。 |
本公司的风险管理流程如下:
本公司每年一次向董事會進行年度風險報告,並於2023年5月15日向董事會報告2022年度風險報告。
资讯安全宣言
钧兴机电为提供客户优质的产品与保障公司股东、员工、合作伙伴的利益和权益,我们持续深化信息安全与机密信息保护机制。
信息安全风险及因应措施
本公司重视信息安全管理,设置信息部门负责防范计算机病毒、网络攻击、数据外泄、法律合规及风险控制,负责规划并执行信息安全管理工作,包括:公司网络及邮件安全管控、信息系统权控管、倡导信息安全提高员工资安意识、改进信息相关之技术及作业流程,以确保公司之信息安全及保障。本公司由高阶主管主持与信息等相关部门每年定期检讨、更新资安管理风险评估及管理并执行安全性检测及资安事件演练外,并由稽核室每年进行内部控制信息作业循环之稽查,确认本公司信息作业内部控制制度及执行之有效性。2021年本公司未发生影响公司营运之重大资安风险情事。
本公司信息安全政策如下:
(一)资通安全检查之控制
防范企业信息系统不受外来信息病毒或黑客入侵,影响企业正常运作或损及公司权益。
(二)系统复原计划及测试程序之控制
确保企业信息系统遭受不可抗力之灾害或其他人员破坏时,能在最短时间内复原至正常企业营运。
(三)档案及设备之安全控制
防范档案数据遭计算机病毒侵入,维护数据文件及各项计算机设备之安全。
(四)程序及数据访问控制
建立本公司用户对系统程序及数据存取之权限及范围,防止系统公用程序、工具及指令被不当存取。
本公司信息安全具体管理方案如下:
(一)资通安全检查之控制
A. 公司邮件服务器装设防火墙及防病毒软件以隔绝外来侵害。
B. 定期检核防火墙之日志文件,异常状况呈报权责主管处理。
C. 信息部门定期检视服务器上邮件收发情形,异常状况呈报权责主管处理。
D. 信息部门利用设备管控上网行为及查看网路狀态,防止未经授权之存取。
E. 定期检视及评估网际网路可能之安全性弱点,以采取防护措施。
F. 计算机网络及信息安全政策倡导定期向员工公告。
G. 遵守软件授权规定,禁止使用未取得授权的软件。
H. 敏感性、机密性数据的处理过程设定双向认证访问。
(二)系统复原计划及测试程序之控制
A. 每年制定系统复原办法并定期修订。
B. 系统每天做增量备份,每周完整备份,以及实施异地备份,并指定专人保管。
C. 计算机系统及其设计,需求需经权责主管核准,加入适当之预防措施,减低不当破坏之机率。
(三)档案及设备之安全控制
A. 于日常作业依档案及设备之安全控制之规定进行文件备份(每天做增量备份,每周完整备份,以及实施异地备份)。
B. 各项计算机设备及接口设备、消防设备、支持设备定期检查、维修及保养。
C. 系统发生异常状况时,应加以了解原因、改进及记录。
D. 机房人员进出确实管制,并登记非IT人员进入机房记录及事项
E. 定期更新侦测病毒软件之版本,并定期扫描计算机硬盘。
F. 对重要信息及计算机硬设备列管造册。
G.各部门人员离职时,严格按人事交接程序交接至信息部门,并对相关账号进行停用处理
(四)程序及数据访问控制
A. 程序档案的存取使用应依账号权限加以管制。
B. 重要之系统公用程序、工具及指令应依其用户权力限制存取查询。
C. 一般应用系统之用户除执行应用系统外,无存取系统公用程序、工具及
指令之权限。
D. 程序档案的存取使用均留下可追踪的记录。
E.权责主管定期复核相关记录。
F. 密码不可显示于计算机屏幕上,亦不可未经乱码化即打印于任何报表。
此外,新进员工需先进行电子邮件及信息系统相关基本培训后始核发账号,以确保信息安全观念融入日常作业中。
(五)投入信息安全管理之资源:
一、专责人力:公司设资安主管以及资安人员各1人,负责全公司(包括总公司与各子/分公司)的相关信息安全作业的指挥和管理;
二、客户满意:无重大资安事件,无违反客户资料遗失之投诉案件;
三、教育训练/保证书:所有新进员工配用计算机时需签订计算机使用保证书,严格遵守公司制定之资安政策;每季定时举办信息安全培训课程;
四、资安公告:每月定期进行信息安全倡导,在于提高各使用人员的防范意识;
五、渗透测试:每年至少执行一次内网及外网网络渗透测试,确保各网络设备的网络防御功能有在按计划正常运行,提前发现不可预见的威胁和风险;