首頁: 公司治理

風險管理

鈞興機電國際股份有限公司

本公司藉由定期辨識、衡量及監控可能影響企業營運之相關風險，透過風險轉移、削減及避免等相關管理策略與因應措施，將可能的風險降至最低，以達到提升公司營運及永續發展之目標。

本公司於2022年8月29日第三屆第八次董事會決議通過本公司風險管理法，係依照公司整體營運方針來定義各類風險，在可承受之風險範圍內，預防可能的損失，以增加股東價值，並達成公司資源配置之最佳化。

本公司風險管理組織架構及職掌如下：

單位	職掌
董事會	董事會為風險管理之最高決策單位，核定風險管理政策與架構，監督風險管理機制之有效運作。
審計委員會	審計委員會審核公司內部控制制度有效性之考核，確保內部控制有效實施並監督公司存在或潛在風險之控管。
稽核室	依據風險管理政策及風險評估結果擬訂年度稽核計畫，依計畫執行各項職度稽核作業，協助董事會及審計委員會監督及控管執行決策可能潛在之風險，確保各項作業風險均獲得有效管控，並適時提出改善建議。
總經理室	1.負責組織及規畫公司整體風險管理。 2.經營決策風險評估及執行因應策略。 3.公司法律風險之評估及執行因應策略。 4.媒體公關及對外聯絡事宜。
各功能部門	各部級主管及單位主管負有第一線風險管理之責任，應於日常管理作業中，進行風險評估及管控，強調全員全面風險控管，平時落實層層防範，以有效作好風險管理。

本公司的風險管理流程如下：

本公司每年一次向董事會進行年度風險報告，並於2023年5月15日向董事會報告2022年度風險報告。

2022年度風險管理報告

資訊安全宣言

鈞興機電為提供客戶優質的產品與保障公司股東、員工、合作夥伴的利益和權益,我們持續深化資訊安全與機密資訊保護機制。

資訊安全風險及因應措施

本公司重視資訊安全管理，設置資訊部門負責防範電腦病毒、網路攻擊、資料外洩、法律合規及風險控制，負責規劃並執行資訊安全管理工作，包括：公司網路及郵件安全管控、資訊系統權控管、宣導資訊安全提高員工資安意識、改進資訊相關之技術及作業流程，以確保公司之資訊安全及保障。本公司由高階主管主持與資訊等相關部門每年定期檢討、更新資安管理風險評估及管理並執行安全性檢測及資安事件演練外，並由稽核室每年進行內部控制資訊作業循環之稽查，確認本公司資訊作業內部控制制度及執行之有效性。2021年本公司未發生影響公司營運之重大資安風險情事。

本公司資訊安全政策如下：

(一)資通安全檢查之控制

防範企業資訊系統不受外來資訊病毒或駭客入侵，影響企業正常運作或損及公司權益。

(二)系統復原計劃及測試程式之控制

確保企業資訊系統遭受不可抗力之災害或其他人員破壞時，能在最短時間內復原至正常企業營運。

(三)檔案及設備之安全控制

防範檔案資料遭電腦病毒侵入，維護資料檔案及各項電腦設備之安全。

(四)程式及資料存取控制

建立本公司使用者對系統程式及資料存取之權限及範圍，防止系統公用程式、工具及指令被不當存取。

本公司資訊安全具體管理方案如下：

(一)資通安全檢查之控制

A. 公司郵件伺服器裝設防火牆及防毒軟體以隔絕外來侵害。

B. 定期檢核防火牆之日誌檔，異常狀況呈報權責主管處理。

C. 資訊部門定期檢視伺服器上郵件收發情形，異常狀況呈報權責主管處理。

D. 資訊部門利用設備管控上網行為及查看網路狀態，防止未經授權之存取。

E. 定期檢視及評估網際網路可能之安全性弱點，以採取防護措施。

F. 電腦網路及資訊安全政策宣導定期向員工公告。

G. 遵守軟體授權規定，禁止使用未取得授權的軟體。

H. 敏感性、機密性資料的處理過程設定雙向認證訪問。

(二)系統復原計劃及測試程式之控制

A. 每年制定系統復原辦法並定期修訂。

B. 系統每天做增量備份，每週完整備份，以及實施異地備份，並指定專人保管。

C. 電腦系統及其設計，需求需經權責主管核准，加入適當之預防措施，減低不當破壞之機率。

(三)檔案及設備之安全控制

A. 於日常作業依檔案及設備之安全控制之規定進行檔案備份（每天做增量備份，每週完整備份，以及實施異地備份）。

B. 各項電腦設備及周邊設備、消防設備、支援設備定期檢查、維修及保養。

C. 系統發生異常狀況時，應加以瞭解原因、改進及記錄。

D. 機房人員進出確實管制，並登記非IT人員進入機房記錄及事項

E. 定期更新偵測病毒軟體之版本，並定期掃描電腦硬碟。

F. 對重要資訊及電腦硬體設備列管造冊。

G．各部門人員離職時，嚴格按人事交接程式交接至資訊部門，並對相關帳號進行停用處理

(四)程式及資料存取控制

A. 程式檔案的存取使用應依帳號權限加以管制。

B. 重要之系統公用程式、工具及指令應依其使用者權限限制存取查詢。

C. 一般應用系統之使用者除執行應用系統外，無存取系統公用程式、工具及

指令之權限。

D. 程式檔案的存取使用均留下可追蹤的記錄。

E.權責主管定期覆核相關記錄。

F. 密碼不可顯示於電腦螢幕上，亦不可未經亂碼化即列印於任何報表。

此外，新進員工需先進行電子郵件及資訊系統相關基本培訓後始核發帳號，以確保資訊安全觀念融入日常作業中。

（五）投入資訊安全管理之資源：

一、專責人力：公司設資安主管以及資安人員各1人，負責全公司(包括總公司與各子/分公司)的相關資訊安全作業的指揮和管理；

二、客戶滿意：無重大資安事件，無違反客戶資料遺失之投訴案件；

三、教育訓練/保證書：所有新進員工配用電腦時需簽訂電腦使用保證書，嚴格遵守公司制定之資安政策；每季定時舉辦資訊安全培訓課程；

四、資安公告：每月定期進行資訊安全宣導，在於提高各使用人員的防範意識；

五、滲透測試：每年至少執行一次內網及外網網路滲透測試，確保各網路設備的網路防禦功能有在按計劃正常運行，提前發現不可預見的威脅和風險；