风险管理

风险管理政策

为完善管理企业风险，大联大投资控股股份有限公司于2016年1月经董事会核准通过风险管理政策与指导原则，明确定义大联大投资控股股份有限公风险管理之范畴、组织架构、职责以及管理运作之执行情形，作为落实执行风险管理之准则。

风险管理组织架构

大联大风险管理最高决策单位为大联大风险管理决策小组，由四大子集团执行长与控股执行长组成。其中控股执行长为决策小组召集人，每年至少一次向董事会呈报负责。风险管理服务处独立运作于业务单位之上。

风险管理流程

大联大风险管理流程包括：风险辨识、风险评估、风险监控、风险响应与追踪，详细说明如下:

• 风险辨识

大联大风险管理服务处将大联大面临之风险项目依重大性原则分为五大类，详如表述。

• 风险评估

风险管理服务处及各功能单位依据各类风险因子的发生可能性与冲击程度，建立风险矩阵，并以量化之衡量方法鉴别关键风险项目

• 风险监控

各功能单位应监控所属业务的风险，并拟定因应管控措施。

• 风险回应与追踪

风险管理服务处每月进行关键风险响应计划追踪管理，并呈报风险管理决策小组。

2020 年关键风险辨识及风险管控措施

信息安全

信息安全治理制度

为保护内部数据之机密性、完整性、可用性及适法性，以避免遭受各类网络安全之威胁，大联大控股于2020年9月启动建制 ISO 27001 信息安全管理体系，基于本公司所面临之风险，建立P-D-C-A循环机制，搭配定期内部检视机制，完善信息安全管理体系，并于2021年6月取得ISO27001认证，完成本公司信息安全管理体系之强化，证书之有效期为2021年7月至2024年7月。

「大联大信息安全政策」由董事会核定，参酌 ISO 27001之框架，完善国际标准各控制领域之要求，作为本公司为保护公司数据之日常维运基本控制措施，进一步确保信息安全管理框架之完整性，以符合客户、顾客、相关法令规定及信息业务最新发展现况。此政策以书面、电子邮件或其他方式告知利害关系人。

本公司设立信息安全管理委员会，由任务型编组团队作为主要成员，负责执行信息安全管理体系内各项工作，并定期检视「大联大信息安全政策」，于修订时提报董事会予以核准。

信息安全风险管理及持续改善架构

 信息安全管理机制

本公司具体之信息安全管理方案，主要涵盖以下面向：

• 人员管理: 透过不断培训以提升员工资安意识并内化于各项作业中，落实「人即资安」之核心。
• 资安监控管理: 除内部资安监控能力之外，透过资安监控中心共同监控内外部异常活动，建立严密资安屏障。
• 事件管理: 定义事件等级与通报流程，以迅速响应信息安全事件，并在最短时间内完成回复。
• 供货商管理: 严格要求供货商知悉并遵守本公司信息安全要求，并将必要之信息安全条款纳入合作契约内。
• 日常作业管理: 透过管理程序之制定，控管包括信息系统建置、变更、网络管理、实体环境进出控制等作业。
• 营运持续管理: 每年透过紧急应变演练、DR异地演练及可携式机房，确保对内及对外服务之可用性。
• 内控管理: 每年定期执行信息安全自行查核，确保内部资安管理措施之落实度以达管控措施持续精进。
• 信息安全指针管理: 将各项作业之预期成效，设计为信息安全指针，透过指针之定期量测，确保皆有符合本公司信息安全目标与要求。

近三年无信息安全相关事件与财务冲击，且无因信息安全事件造成客户信息外泄之情事。