風險管理

風險管理委員會(Risk Management Committee, RMC)為有效控制風險管理,於2020年訂定「風險管理政策與程序」,並於2020年8月經董事會通過,依照策略、財務、營運及危害四大風險類別彙整,產出風險雷達圖落實建置、推行、監督、維護風險管理計畫,委員會透過風險自評報告、風險改善計畫的具體改善方案,有效監控風險,並藉由風險管理年度報告,分析風險分布並擬定風險改善方針。

 

2020年共計管控38項風險改善計畫。因改善的工程項目,需配合廠端停線才可施作,故達標率為80%。於上半年因應新冠肺炎,依程序召開RMC臨時會,共計16次會議,以有效管控風險。上述執行成果於2020年11月向董事會報告。

 

風險管理委員會組織圖:

 

氣候變遷風險之評估與因應

 

資訊系統之影響及風險

      有鑑於目前新興的資安攻擊趨勢,如勒索病毒、社交攻擊、偽冒郵件等,嚴重威脅全球企業及個人資安,為保障公司權益及永續經營之目標,建立安全及可信賴之電腦化作業環境,以確保本公司電腦資料、系統、設備、網路安全及維持營運正常。本公司根據資通安全管理法、個人資料保護法、著作權法、電子簽章法等法規,訂立「資訊安全政策程序」,以及依循該架構所制定之「資通安全作業規範」,持續關注資安議題並規劃因應計劃及加強資安防護軟硬體購置,包含新型防毒軟體更新、全球安全織網聯合防護建立、內部作業系統升級及漏洞修補等。由稽核部門依循所訂立辦法,定期稽核並向董事會報告,2020年11月由風險管理委員會於向董事會報告其運作情形。

 

1.資安管理架構

      本公司透過風險管理委員會,定期審視公司資安治理現況,於每年底向董事會報告其運作情形,並持續關注資安議題,規劃因應計劃及加強資安防護軟硬體購置,包含新型防毒軟體更新、全球安全織網聯合防護建立、內部作業系統升級及漏洞修補等。

 

2.資訊安全政策

      本公司為強化資訊安全管理,建立可信賴之各項資訊應用系統,保護電子資訊資產,避免與降低業務損害,增進事業利益並確保事業永續經營,且為更適切符合國際資訊安全管理趨勢及回應客戶資訊安全要求,參考ISO27001資訊安全國際標準製訂企業資訊安全政策。歷年來持續改善內部各項資訊安全管理機制、定期的資訊安全宣導、員工資訊安全教育訓練等活動,進而落實資訊安全政策、保護客戶資料及公司智慧產出、強化資訊安全事件應變能力及達成資訊安全政策衡量指標。

 

2.資安與網路風險控制

      網路攻擊手法日新月異,資訊系統無法完全避免來自任何第三方的癱瘓式網路攻擊,網路攻擊透過電子郵件、網路釣魚、暴力破解等手法,將惡意程式導入公司內部網路進行破壞或資料竊取。破壞式的攻擊可能導致本公司生產營運中斷,資料竊取式攻擊可能造成重要的營運資料或員工、客戶等個人資料洩漏。本公司採取積極的資訊安全強化作業,除導入次世代防火牆、惡意郵件過濾、員工上網防護、作業系統更新、防毒軟體佈署、全天候資訊安全監控服務外,每季透過內部之風險管理系統,評估資訊系統相關風險,並定期於風險管理委員會報告風險控制及改善狀況,以控制及降低相關網路風險。有鑑於近期駭客攻擊頻繁,為降低因重大資安事件發生,導致公司面臨龐大的損失,己於2020年投保資安險。為有效強化整體資訊安全治理能力,規劃於2021年導入ISO27001資訊安全國際標準。

 

3.員工定期資安訓練

      分別辦理資訊處資安教育訓練、全公司人員線上資安教育訓練、及高階主管資安講座,並於10月推行資訊安全月,於桃園、龍潭、雲林、蘇州及蕪湖等廠區一共舉辦六個場次的宣導活動,透過各類資訊安全教育訓練課程的進行,除提升同仁資訊安全意識,亦確保資訊安全觀念能融入日常營運作業中。另外本公司定期對員工透過電子郵件宣導相關資訊安全知識,為進一步降低員工誤點擊惡意郵件之風險,2021年規劃每月進行社交工程演練。

 

4.本公司2020 年未發生任何衝擊公司營運的重大網路攻擊事件。