風險管理

2010年7月成立風險管理委員會(Risk Management Committee, RMC),由董事長兼執行長、總經理分別擔任主委及副主委,財務長兼任總幹事,各單位一級主管擔任委員, 於每半年召開管理審查會議。

2020年董事會通過訂定『風險管理政策與程序』,配合2022年8月8日臺灣證券交易所股份有限公司臺證治理字第1110015360號發布『上市上櫃公司風險管理實務守則』,於2023年第一次董事會完成修訂通過。
『風險管理政策與程序』參考本公司網站連結→風險管理政策與程序

風險管理治理架構圖及風險管理委員會圖
組織架構圖

 
風險管理範疇
著重公司治理的風險管理系統及風險轉移規劃;分為策略風險、財務風險、營運風險及危害風險四大構面,每構面再分為內部與外部,依循風險辨識、風險分析、風險評量與監控而產出風險雷達圖。
風險管理範疇

2023年運作情形
  1. 各單位依公司層級三大風險(年度;含風險雷達圖)、風險體檢表……等,辨識出單位之年度風險項目,並進行分析與對策;本年度共計管控31項風險改善計畫,近半數為中長期改善計畫,將於2024年持續展開。
  2. 因應氣候變遷風險,依循TCFD(Task Force on Climate-related Financial Disclosures;氣候相關財務揭露)框架,進行風險與機會的鑑別及評估、重大風險的因應規劃,以短、中、長期共計展開25項調適行動計畫。
  3. 2023年執行運作與2024年運作規劃,於2023年11月2日向審計委員會、董事會報告。(例行會議為每年一次)。

氣候變遷管理​​
明基材料成立「氣候變遷管理工作小組」,由董事長兼執行長、總經理擔任主席及副主席,各單位一級主管擔任委員,財務長/風險管理單位擔任總幹事,展開氣候變遷管理相關活動之推動。

enL_investors_article_23E26_d95Br1OxIH02

氣候變遷管理策略與行動
明基材料依循氣候相關財務揭露框架(Task Force on Climate-related Financial Disclosures , TCFD)管理,進行氣候變遷之風險與機會鑑別與評估,鑑別出五大風險與機會,經綜合考量潛在財務影響及風險方案的急迫性、衍生效益、經濟效益、技術可行性,以擬定、展開氣候變遷調適行動計畫。氣候變遷管理工作小組於2022年起,定期每年召開內部管理審查會議,亦與既有的風險管理制度整合,每年提報審計委員會及董事會,以審查和指導公司氣候變遷策略目標、行動計畫等相關議題。

TCFD運作管理現況
TCFD運作管理現況
氣候變遷行動調適計畫
氣候變遷行動調適計畫


資訊安全
資訊系統之影響及風險
有鑑於目前新興的資安攻擊趨勢,如勒索病毒、社交攻擊、偽冒郵件等,嚴重威脅全球企業及個人資安,為保障公司權益及永續經營之目標,建立安全及可信賴之電腦化作業環境,以確保本公司電腦資料、系統、設備、網路安全及維持營運正常。本公司根據資通安全管理法、個人資料保護法、著作權法、電子簽章法等法規,訂立「資訊安全手冊」,以及依循該架構所制定之「資訊作業安全管理程序」,由稽核部門依循所訂立辦法,定期稽核並向董事會報告(2023/11/02)。

enL_investors_article_23E26_BAQDZktpF302

1.資安管理架構
      本公司已於2021年底成立資訊安全管理委員會(每半年召開會議),並透過風險管理委員會,定期審視公司資安治理現況,於每年底向董事會報告其運作情形,並持續關注資安議題,規劃因應計劃及加強資安防護軟硬體購置,包含新型防毒軟體更新、全球安全織網聯合防護建立、內部作業系統升級及漏洞修補等。公司設立資安單位,設置資安主管及資安專責人員,共計2人。
 
2.資訊安全政策
      本公司為強化資訊安全管理,建立可信賴之各項資訊應用系統,保護電子資訊資產,避免與降低業務損害,增進事業利益並確保事業永續經營,且為更適切符合國際資訊安全管理趨勢及回應客戶資訊安全要求,依循ISO27001資訊安全國際標準製訂企業資訊安全政策。歷年來持續改善內部各項資訊安全管理機制、定期的資訊安全宣導、員工資訊安全教育訓練等活動,進而落實資訊安全政策、保護客戶資料及公司智慧產出、強化資訊安全事件應變能力及達成資訊安全政策衡量指標。2023年加入台灣電腦網路危機處理暨協調中心(TWCERT)進行聯防作業。
 
2.資訊安全具體管理方案及投入資通安全管理之資源
  • 網路攻擊手法日新月異,資訊系統無法完全避免來自任何第三方的癱瘓式網路攻擊,網路攻擊透過電子郵件、網路釣魚、暴力破解等手法,將惡意程式導入公司內部網路進行破壞或資料竊取。破壞式的攻擊可能導致本公司生產營運中斷,資料竊取式攻擊可能造成重要的營運資料或員工、客戶等個人資料洩漏。
  • 本公司採取積極的資訊安全強化作業,除導入次世代防火牆、惡意郵件過濾、員工上網防護、作業系統更新、防毒軟體佈署、全天候資訊安全監控服務外,每季透過內部之風險管理系統,評估資訊系統相關風險,並定期於風險管理委員會報告風險控制及改善狀況,以控制及降低相關網路風險。
  • 2023年導入事件偵測及回應機制(EDR、NDR及MDR)。
  • 有鑑於近期駭客攻擊頻繁,為降低因重大資安事件發生,導致公司面臨龐大的損失,持續投保資安險。
  • 為有效強化整體資訊安全治理能力,已於2022年通過ISO27001資訊安全國際標準(有效期限為2022/4/1~2025/3/31),並擴大導入至蘇州及蕪湖廠。2023年持續每週進行ISMS改善會議。
  • 持續對重要系統進行弱點修補作業。
 
3.員工定期資安訓練
      分別辦理資訊處資安教育訓練、全公司人員線上資安教育訓練(781人)、及高階主管資安講座(45人),並於10月推行資訊安全月,於桃園、龍潭、雲林、蘇州及蕪湖等廠區舉辦進行資安宣導活動,透過各類資訊安全教育訓練課程的進行,除提升同仁資訊安全意識,亦確保資訊安全觀念能融入日常營運作業中。另外本公司定期對員工透過電子郵件宣導相關資訊安全知識,為進一步降低員工誤點擊惡意郵件之風險,2022年每季進行社交工程演練。
 
4.供應商資訊安全管理
     2022年4月首次針對各事業群供應商進行資訊安全風險評鑑作業,2023年計66家廠商執行作業,除做為提供公司外部風險參考依據,亦提供資訊安全指引給相關廠商,以提升整體資安成熟度,降低可能發生的對應風險。

5.本公司2023年未發生任何衝擊公司營運的重大網路攻擊事件。
 

關鍵字搜尋

偵測到您已關閉Cookie,為提供最佳體驗,建議您使用Cookie瀏覽本網站以便使用本站各項功能

依據歐盟施行的個人資料保護法,我們致力於保護您的個人資料並提供您對個人資料的掌握。 我們已更新並將定期更新我們的隱私權政策,以遵循該個人資料保護法。請您參照我們最新版的 隱私權聲明
本網站使用cookies以提供更好的瀏覽體驗。如需了解更多關於本網站如何使用cookies 請按 這裏