+
首頁: 公司治理

風險管理

鈞興機電國際股份有限公司


本公司藉由定期辨識、衡量及監控可能影響企業營運之相關風險,透過風險轉移、削減及避免等相關管理策略與因應措施,將可能的風險降至最低,以達到提升公司營運及永續發展之目標。

本公司於2022年8月29日第三屆第八次董事會決議通過本公司風險管理法,係依照公司整體營運方針來定義各類風險,在可承受之風險範圍內,預防可能的損失,以增加股東價值,並達成公司資源配置之最佳化。


本公司風險管理組織架構及職掌如下:

單位

職掌

董事會

董事會為風險管理之最高決策單位,核定風險管理政策與架構,監督風險管理機制之有效運作。

審計委員會

審計委員會審核公司內部控制制度有效性之考核,確保內部控制有效實施並監督公司存在或潛在風險之控管。

稽核室

依據風險管理政策及風險評估結果擬訂年度稽核計畫,依計畫執行各項職度稽核作業,協助董事會及審計委員會監督及控管執行決策可能潛在之風險,確保各項作業風險均獲得有效管控,並適時提出改善建議。

總經理室

1.負責組織及規畫公司整體風險管理。

2.經營決策風險評估及執行因應策略。

3.公司法律風險之評估及執行因應策略。

4.媒體公關及對外聯絡事宜。

各功能部門

各部級主管及單位主管負有第一線風險管之責任,應於日常管理作業中,進行風險評估及管控,強調全員全面風險控管,平時落實層層防範,以有效作好風險管理。


本公司的風險管理流程如下:




本公司每年一次向董事會進行年度風險報告,並於2023年5月15日向董事會報告2022年度風險報告。

2022年度風險管理報告


資訊安全宣言

鈞興機電為提供客戶優質的產品與保障公司股東、員工、合作夥伴的利益和權益,我們持續深化資訊安全與機密資訊保護機制。  


資訊安全風險及因應措施

本公司重視資訊安全管理,設置資訊部門負責防範電腦病毒、網路攻擊、資料外洩、法律合規及風險控制,負責規劃並執行資訊安全管理工作,包括:公司網路及郵件安全管控、資訊系統權控管、宣導資訊安全提高員工資安意識、改進資訊相關之技術及作業流程,以確保公司之資訊安全及保障。本公司由高階主管主持與資訊等相關部門每年定期檢討、更新資安管理風險評估及管理並執行安全性檢測及資安事件演練外,並由稽核室每年進行內部控制資訊作業循環之稽查,確認本公司資訊作業內部控制制度及執行之有效性。2021年本公司未發生影響公司營運之重大資安風險情事。


本公司資訊安全政策如下:

(一)資通安全檢查之控制

防範企業資訊系統不受外來資訊病毒或駭客入侵,影響企業正常運作或損及公司權益。

(二)系統復原計劃及測試程式之控制

確保企業資訊系統遭受不可抗力之災害或其他人員破壞時,能在最短時間內復原至正常企業營運。

(三)檔案及設備之安全控制

防範檔案資料遭電腦病毒侵入,維護資料檔案及各項電腦設備之安全。

(四)程式及資料存取控制

建立本公司使用者對系統程式及資料存取之權限及範圍,防止系統公用程式、工具及指令被不當存取。


本公司資訊安全具體管理方案如下:

(一)資通安全檢查之控制

A. 公司郵件伺服器裝設防火牆及防毒軟體以隔絕外來侵害。

B. 定期檢核防火牆之日誌檔,異常狀況呈報權責主管處理。

C. 資訊部門定期檢視伺服器上郵件收發情形,異常狀況呈報權責主管處理。

D. 資訊部門利用設備管控上網行為及查看網路狀態,防止未經授權之存取。

E. 定期檢視及評估網際網路可能之安全性弱點,以採取防護措施。

F. 電腦網路及資訊安全政策宣導定期向員工公告。

G. 遵守軟體授權規定,禁止使用未取得授權的軟體。

H. 敏感性、機密性資料的處理過程設定雙向認證訪問。


(二)系統復原計劃及測試程式之控制

A. 每年制定系統復原辦法並定期修訂。

B. 系統每天做增量備份,每週完整備份,以及實施異地備份,並指定專人保管。

C. 電腦系統及其設計,需求需經權責主管核准,加入適當之預防措施,減低不當破壞之機率。


(三)檔案及設備之安全控制

A. 於日常作業依檔案及設備之安全控制之規定進行檔案備份(每天做增量備份,每週完整備份,以及實施異地備份)。

B. 各項電腦設備及周邊設備、消防設備、支援設備定期檢查、維修及保養。

C. 系統發生異常狀況時,應加以瞭解原因、改進及記錄。

D. 機房人員進出確實管制,並登記非IT人員進入機房記錄及事項

E. 定期更新偵測病毒軟體之版本,並定期掃描電腦硬碟。

F. 對重要資訊及電腦硬體設備列管造冊。

G.各部門人員離職時,嚴格按人事交接程式交接至資訊部門,並對相關帳號進行停用處理


(四)程式及資料存取控制

A. 程式檔案的存取使用應依帳號權限加以管制。

B. 重要之系統公用程式、工具及指令應依其使用者權限限制存取查詢。

C. 一般應用系統之使用者除執行應用系統外,無存取系統公用程式、工具及

指令之權限。

D. 程式檔案的存取使用均留下可追蹤的記錄。

E.權責主管定期覆核相關記錄。

F. 密碼不可顯示於電腦螢幕上,亦不可未經亂碼化即列印於任何報表。

此外,新進員工需先進行電子郵件及資訊系統相關基本培訓後始核發帳號,以確保資訊安全觀念融入日常作業中。



(五)投入資訊安全管理之資源:

一、專責人力:公司設資安主管以及資安人員各1人,負責全公司(包括總公司與各子/分公司)的相關資訊安全作業的指揮和管理;

二、客戶滿意:無重大資安事件,無違反客戶資料遺失之投訴案件;

三、教育訓練/保證書:所有新進員工配用電腦時需簽訂電腦使用保證書,嚴格遵守公司制定之資安政策;每季定時舉辦資訊安全培訓課程;

四、資安公告:每月定期進行資訊安全宣導,在於提高各使用人員的防範意識;

五、滲透測試:每年至少執行一次內網及外網網路滲透測試,確保各網路設備的網路防禦功能有在按計劃正常運行,提前發現不可預見的威脅和風險;