风险管理

2010年7月成立风险管理委员会(Risk Management Committee, RMC),由董事长兼执行长、总经理分别担任主委及副主委,财务长兼任总干事,各单位一级主管担任委员, 于每半年召开管理审查会议。

2020年董事会通过订定『风险管理政策与程序』,配合2022年8月8日台湾证券交易所股份有限公司台证治理字第1110015360号发布『上市上柜公司风险管理实务守则』,于2023年第一次董事会完成修订通过。
『风险管理政策与程序』参考本公司网站连结→
风险管理政策与程序
 
风险管理治理架构图及风险管理委员会图
組織架構圖

风险管理范畴
着重公司治理的风险管理系统及风险转移规划;分为策略风险、财务风险、营运风险及危害风险四大构面,每构面再分为内部与外部,依循风险辨识、风险分析、风险评量 与监控而产出风险雷达图。

風險管理範疇


2023年运作情形
  1. 各单位依公司层级三大风险(年度;含风险雷达图)、风险体检表……等,辨识出单位之年度风险项目,并进行分析与对策;本年度共计管控31项风险改善计画,近半数 为中长期改善计画,将于2024年持续展开。
  2. 因应气候变迁风险,依循TCFD(Task Force on Climate-related Financial Disclosures;气候相关财务揭露)框架,进行风险与机会的鉴别及评估、重大风险的因应规划,以短、中、长期共计展开25项调适 行动计画。
  3. 2023年执行运作与2024年运作规划,于2023年11月2日向审计委员会、董事会报告。 (例行会议为每年一次)。

​​气候变迁管理
明基材料成立「气候变迁管理工作小组」,由董事长兼执行长、总经理担任主席及副主席,各单位一级主管担任委员,财务长/风险管理单位担任总干事,展开气候变迁管理相关活动之推动。

enL_investors_article_23E26_d95Br1OxIH02

气候变迁管理策略与行动
明基材料依循气候相关财务揭露框架(Task Force on Climate-related Financial Disclosures , TCFD)管理,进行气候变迁之风险与机会鉴别与评估,鉴别出五大风险与机会,经综合考量潜在财务影响及风险方案的 急迫性、衍生效益、经济效益、技术可行性,以拟定、展开气候变迁调适行动计画。 气候变迁管理工作小组于2022年起,定期每年召开内部管理审查会议,亦与既有的风险管理制度整合,每年提报审计委员会及董事会,以审查和指导公司气候变迁策略目标、行动计画等 相关议题。


TCFD运作管理现况
TCFD運作管理現況

气候变迁行动调适计画
氣候變遷行動調適計畫


资讯安全
资讯系统之影响及风险

有鉴于目前新兴的资安攻击趋势,如勒索病毒、社交攻击、伪冒邮件等,严重威胁全球企业及个人资安,为保障公司权益及永续经营之目标,建立安全及可信赖之电脑化 作业环境,以确保本公司电脑资料、系统、设备、网路安全及维持营运正常。 本公司根据资通安全管理法、个人资料保护法、著作权法、电子签章法等法规,订立「资讯安全手册」,以及依循该架构所制定之「资讯作业安全管理程序」,由稽核部门依循 所订立办法,定期稽核并向董事会报告(2023/11/02)。
enL_investors_article_23E26_BAQDZktpF302

1.资安管理架构
      本公司已于2021年底成立资讯安全管理委员会(每半年召开会议),并透过风险管理委员会,定期审视公司资安治理现况,于每年底向董事会报告其运作情形,并持续关注资安议题,规划 因应计划及加强资安防护软硬体购置,包含新型防毒软体更新、全球安全织网联合防护建立、内部作业系统升级及漏洞修补等。 公司设立资安单位,设置资安主管及资安专责人员,共计2人。
 
2.资讯安全政策
      本公司为强化资讯安全管理,建立可信赖之各项资讯应用系统,保护电子资讯资产,避免与降低业务损害,增进事业利益并确保事业永续经营,且为更适切符合国际资讯安全管理趋势及 回应客户资讯安全要求,依循ISO27001资讯安全国际标准制订企业资讯安全政策。 历年来持续改善内部各项资讯安全管理机制、定期的资讯安全宣导、员工资讯安全教育训练等活动,进而落实资讯安全政策、保护客户资料及公司智慧产出、强化资讯安全事件应变能力及达成 资讯安全政策衡量指标。 2023年加入台湾电脑网路危机处理暨协调中心(TWCERT)进行联防作业。
 
2.资安与网路风险控制
  • 网路攻击手法日新月异,资讯系统无法完全避免来自任何第三方的瘫痪式网路攻击,网路攻击透过电子邮件、网路钓鱼、暴力破解等手法,将恶意程式导入公司内部网路进行破坏或资料 窃取。 破坏式的攻击可能导致本公司生产营运中断,资料窃取式攻击可能造成重要的营运资料或员工、客户等个人资料泄漏。
  • 本公司采取积极的资讯安全强化作业,除导入次世代防火墙、恶意邮件过滤、员工上网防护、作业系统更新、防毒软体布署、全天候资讯安全监控服务外,每季透过内部之风险管理系统,评估 资讯系统相关风险,并定期于风险管理委员会报告风险控制及改善状况,以控制及降低相关网路风险。
  • 2023年导入事件侦测及回应机制(EDR、NDR及MDR)。
  • 有鉴于近期骇客攻击频繁,为降低因重大资安事件发生,导致公司面临庞大的损失,持续投保资安险。
  • 为有效强化整体资讯安全治理能力,已于2022年通过ISO27001资讯安全国际标准(有效期限为2022/4/1~2025/3/31),并扩大导入至苏州及芜湖厂。 2023年持续每周进行ISMS改善会议。
  • 持续对重要系统进行弱点修补作业。
 
3.员工定期资安训练
      分别办理资讯处资安教育训练、全公司人员线上资安教育训练(781人)、及高阶主管资安讲座(45人),并于10月推行资讯安全月,于桃园、龙潭、云林、 苏州及芜湖等厂区举办进行资安宣导活动,透过各类资讯安全教育训练课程的进行,除提升同仁资讯安全意识,亦确保资讯安全观念能融入日常营运作业中。 另外本公司定期对员工透过电子邮件宣导相关资讯安全知识,为进一步降低员工误点击恶意邮件之风险,2022年每季进行社交工程演练。
 
4.供应商资讯安全管理
     2022年4月首次针对各事业群供应商进行资讯安全风险评鉴作业,2023年计66家厂商执行作业,除做为提供公司外部风险参考依据,亦提供资讯安全指引给相关厂商,以提升整体 资安成熟度,降低可能发生的对应风险。

5.本公司2023年未发生任何冲击公司营运的重大网路攻击事件。

关键字搜寻

偵測到您已關閉Cookie,為提供最佳體驗,建議您使用Cookie瀏覽本網站以便使用本站各項功能

依据欧盟施行的个人资料保护法,我们致力于保护您的个人资料并提供您对个人资料的掌握。 我们已更新并将定期更新我们的隐私权政策,以遵循该个人资料保护法。请您参照我们最新版的 隐私权声明
本网站使用cookies以提供更好的浏览体验。如需了解更多关于本网站如何使用cookies 请按 这里