風險管理

鈞興機電國際股份有限公司

本公司藉由定期辨識、衡量及監(jiān)控可能影響企業(yè)營運之相關(guān)風險，透過風險轉(zhuǎn)移、削減及避免等相關(guān)管理策略與因應措施，將可能的風險降至最低，以達到提升公司營運及永續(xù)發(fā)展之目標。

本公司于2022年8月29日第三屆第八次董事會決議通過本公司風險管理法，系依照公司整體營運方針來定義各類風險，在可承受之風險范圍內(nèi)，預防可能的損失，以增加股東價值，并達成公司資源分配之優(yōu)化。

本公司風險管理組織架構(gòu)及職掌如下：

單位	職掌
董事會	董事會為風險管理之最高決策單位，核定風險管理政策與架構(gòu)，監(jiān)督風險管理機制之有效運作。
審計委員會	審計委員會審核公司內(nèi)部控制制度有效性之考核，確保內(nèi)部控制有效實施并監(jiān)督公司存在或潛在風險之控管。
稽核室	依據(jù)風險管理政策及風險評估結(jié)果擬訂年度稽核計劃，依計劃執(zhí)行各項職度稽核作業(yè)，協(xié)助董事會及審計委員會監(jiān)督及控管執(zhí)行決策可能潛在之風險，確保各項作業(yè)風險均獲得有效管控，并適時提出改善建議。
總經(jīng)理室	1.負責組織及規(guī)畫公司整體風險管理。 2.經(jīng)營決策風險評估及執(zhí)行因應策略。 3.公司法律風險之評估及執(zhí)行因應策略。 4.媒體公關(guān)及對外聯(lián)絡事宜。
各功能部門	各部級主管及單位主管負有第一線風險管理之責任，應于日常管理作業(yè)中，進行風險評估及管控，強調(diào)全員全面風險控管，平時落實層層防范，以有效作好風險管理。

本公司的風險管理流程如下：

本公司每年一次向董事會進行年度風險報告，並於2024年3月12日向董事會報告2023年度風險報告。

2023年風險管理評估報告

資訊安全宣言

鈞興機電為提供客戶優(yōu)質(zhì)的產(chǎn)品與保障公司股東、員工、合作伙伴的利益和權(quán)益,我們持續(xù)深化信息安全與機密信息保護機制。  

信息安全風險及因應措施

本公司重視信息安全管理，設置信息部門負責防范計算機病毒、網(wǎng)絡攻擊、數(shù)據(jù)外泄、法律合規(guī)及風險控制，負責規(guī)劃并執(zhí)行信息安全管理工作，包括：公司網(wǎng)絡及郵件安全管控、信息系統(tǒng)權(quán)控管、倡導信息安全提高員工資安意識、改進信息相關(guān)之技術(shù)及作業(yè)流程，以確保公司之信息安全及保障。本公司由高階主管主持與信息等相關(guān)部門每年定期檢討、更新資安管理風險評估及管理并執(zhí)行安全性檢測及資安事件演練外，并由稽核室每年進行內(nèi)部控制信息作業(yè)循環(huán)之稽查，確認本公司信息作業(yè)內(nèi)部控制制度及執(zhí)行之有效性。2024年本公司未發(fā)生影響公司營運之重大資安風險情事。

本公司信息安全政策如下：

(一)資通安全檢查之控制

防范企業(yè)信息系統(tǒng)不受外來信息病毒或黑客入侵，影響企業(yè)正常運作或損及公司權(quán)益。

(二)系統(tǒng)復原計劃及測試程序之控制

確保企業(yè)信息系統(tǒng)遭受不可抗力之災害或其他人員破壞時，能在最短時間內(nèi)復原至正常企業(yè)營運。

(三)檔案及設備之安全控制

防范檔案數(shù)據(jù)遭計算機病毒侵入，維護數(shù)據(jù)文件及各項計算機設備之安全。

(四)程序及數(shù)據(jù)訪問控制

建立本公司用戶對系統(tǒng)程序及數(shù)據(jù)存取之權(quán)限及范圍，防止系統(tǒng)公用程序、工具及指令被不當存取。

本公司信息安全具體管理方案如下：

(一)資通安全檢查之控制

A. 公司郵件服務器裝設防火墻及防病毒軟件以隔絕外來侵害。

B. 定期檢核防火墻之日志文件，異常狀況呈報權(quán)責主管處理。

C. 信息部門定期檢視服務器上郵件收發(fā)情形，異常狀況呈報權(quán)責主管處理。

D. 信息部門利用設備管控上網(wǎng)行為及查看網(wǎng)路狀態(tài)，防止未經(jīng)授權(quán)之存取。

E. 定期檢視及評估網(wǎng)際網(wǎng)路可能之安全性弱點，以采取防護措施。

F. 計算機網(wǎng)絡及信息安全政策倡導定期向員工公告。

G. 遵守軟件授權(quán)規(guī)定，禁止使用未取得授權(quán)的軟件。

H. 敏感性、機密性數(shù)據(jù)的處理過程設定雙向認證訪問。

(二)系統(tǒng)復原計劃及測試程序之控制

A. 每年制定系統(tǒng)復原辦法并定期修訂。

B. 系統(tǒng)每天做增量備份，每周完整備份，以及實施異地備份，并指定專人保管。

C. 計算機系統(tǒng)及其設計，需求需經(jīng)權(quán)責主管核準，加入適當之預防措施，減低不當破壞之機率。

(三)檔案及設備之安全控制

A. 于日常作業(yè)依檔案及設備之安全控制之規(guī)定進行文件備份（每天做增量備份，每周完整備份，以及實施異地備份）。

B. 各項計算機設備及接口設備、消防設備、支持設備定期檢查、維修及保養(yǎng)。

C. 系統(tǒng)發(fā)生異常狀況時，應加以了解原因、改進及記錄。

D. 機房人員進出確實管制，并登記非IT人員進入機房記錄及事項

E. 定期更新偵測病毒軟件之版本，并定期掃描計算機硬盤。

F. 對重要信息及計算機硬設備列管造冊。

G．各部門人員離職時，嚴格按人事交接程序交接至信息部門，并對相關(guān)賬號進行停用處理

(四)程序及數(shù)據(jù)訪問控制

A. 程序檔案的存取使用應依賬號權(quán)限加以管制。

B. 重要之系統(tǒng)公用程序、工具及指令應依其用戶權(quán)力限制存取查詢。

C. 一般應用系統(tǒng)之用戶除執(zhí)行應用系統(tǒng)外，無存取系統(tǒng)公用程序、工具及

指令之權(quán)限。

D. 程序檔案的存取使用均留下可追蹤的記錄。

E.權(quán)責主管定期復核相關(guān)記錄。

F. 密碼不可顯示于計算機屏幕上，亦不可未經(jīng)亂碼化即打印于任何報表。

此外，新進員工需先進行電子郵件及信息系統(tǒng)相關(guān)基本培訓后始核發(fā)賬號，以確保信息安全觀念融入日常作業(yè)中。

（五）投入信息安全管理之資源：

一、專責人力：公司設資安主管以及資安人員各1人，負責全公司(包括總公司與各子/分公司)的相關(guān)信息安全作業(yè)的指揮和管理；

二、客戶滿意：無重大資安事件，無違反客戶資料遺失之投訴案件；

三、教育訓練/保證書：所有新進員工配用計算機時需簽訂計算機使用保證書，嚴格遵守公司制定之資安政策；每季定時舉辦信息安全培訓課程；

四、資安公告：每月定期進行信息安全倡導，在于提高各使用人員的防范意識；

五、滲透測試：每年至少執(zhí)行一次內(nèi)網(wǎng)及外網(wǎng)網(wǎng)絡滲透測試，確保各網(wǎng)絡設備的網(wǎng)絡防御功能有在按計劃正常運行，提前發(fā)現(xiàn)不可預見的威脅和風險；