本公司以健全誠信之經營理念,為確保公司穩健經營與永續發展,降低營運可能面臨之風險,於109年經董事會決議通過訂定「風險管理政策與程序辦法」,本公司每年定期評估風險,依照公司整體營運方針定義各類風險,建立及早辨識、準確衡量、有效監督及嚴格控管之風險管理機制,在可承受之風險範圍內,預防可能的損失。隨時注意國際與國內風險管理制度之發展情形,據以檢討改善本政策,並依據內外環境變化,持續調整改善最佳風險管理方式,以提昇本公司風險管理執行成效,俾保障公司、員工、股東及利害關係人的利益。
完整政策請見 風險管理政策與程序辦法
為有效執行本公司風險管理機制,本公司由董事會、審計委員會、總經理室、稽核處、各風險管理單位及子公司共同參與推動。
本公司各風險管理單位審視本身業務及經營特性,辨識公司營運可能面對之風險因子,發展出完整的風險類別框架,並訂定適當之衡量方法,作為風險管理的依據。
各風險管理單位應持續監控所屬業務之風險,並提出因應對策,定期向高階管理階層報告風險狀況以供管理參考,確保管理架構及風險控管功能正常運作。
本公司整合企業經營主要風險源,同時考量實務上運作之可行性,訂定風險類別,每年由企業社會責任工作小組作問卷調查。考量全球氣候變遷、政府能源及相關財稅等議題造成之影響日益漸增,2021年底鑑別出能資源風險1項新興風險,並將其列入固定風險類別。2021年共針對15項風險進行風險發生的可能性與影響衝擊度進行鑑別,各風險管理單位視內(外)部營運環境變化,定期調整管控機制。
風險管理矩陣圖
本公司自103年起每年在ESG報告書揭露各項重大風險鑑別與短中長期因應措施,109年經董事會決議通過訂定「風險管理政策與程序辦法」,每年至少一次向審計委員會及董事會報告當年度之風險管理運作情形,並將相關資訊揭露於年報及公司網站。
✓ 建立風險評測標準。 ✓ 設備相關資訊建立/資安納管(防毒/網路/Windows更新...等)。 ✓ 總表管理,定期檢視及維護。
以最佳管理實務進行廠區網路設備與資安設備(如:交換器、負載平衡、防火牆)之組態強化檢核。
✓ 強化對外防火牆系統,拒敵於外。 ✓ 建置網路偵測系統,偵測不合理行為。 ✓ 建置跨廠防火牆,防止病毒橫向擴散。 ✓ 強化關鍵系統,確保重要主機之營運安全。
✓ 第一道防禦:強化防火牆 ✓ 第二道防禦:惡意行為偵測 ✓ 第三道防禦:關鍵系統防護 ✓ 第四道防禦:資安事件管理系統 ✓ 第五道防禦:321備份 ✓ 第六道防禦:關鍵資料保護與加密
✓ 資訊資產價值鑑別 ✓ 資訊資產管控 ✓ 【軟硬體管理平台】
✓ 使用者行為監控 ✓ 數位證據保全機制 ✓ 帳號及權限管理
✓ 防火牆及工控設備(OT) ✓ 關鍵伺服器(SEVER) ✓ 辦公設備(IT) ✓ 電子郵件(Mail)
✓ 運作安全與日常資安管理 ✓ 營運持續管理
工廠的維運管理為製造業的核心,其工廠的生產流程及工序主要是由工控系統(Operational Technology,OT) 進行管理控制,例如:分散式控制系統(Distributed Control System,DCS)、資料蒐集與監控系統(Supervisory control and data acquisition,SCADA)等,基於生產穩定性等要求,往往作業系統或程式本身,於安裝後即未進行升級與更新,故日後成為所謂的舊系統(Legacy System),其資安防護程度相較於一般的資訊系統(Information Technology,IT),例如:ERP、CRM、OA等軟硬體設備,是明顯不足的。