风险管理
风险管理
风险管理组织架构
为完善管理企业风险,大联大投资控股股份有限公司制定了风险管理政策与指导原则,于2016年一月经董事会核准通过,作为落实执行风险管理之准则。明确定义大联大投资控股股份有限公风险管理之范畴、组织架构、职责以及管理运作之执行情形。
审计委员会负责监督大联大风险管理政策的制定与执行,大联大控股执行长设置控股风险管理单位负责风险管理与风险响应追纵。大联大控股与各集团以及运筹风险管理单位或专责单位负责落实大联大整体之风险管理的执行作业。
大联大风险管理小组组织
风险管理作业程序
风险管理流程包括:风险辨识、风险衡量、风险监控、风险报告与风险回应措施。风险管理单位应就大联大控股营运过程中所面临之各项风险因子加以辨识,透过冲击度与脆弱度来挑选须优先关注的风险项目,由风险关系部门进行风险响应再由大联大控股风险管理单位定期追纵,与定期在控股CEO会议揭露风险响应计划执行的状况。
大联大投资控股股份有限公司自2017年成立风险管理服务处后,陆续展开一连串的风险管理工作,包含控股的九大关键风险项目与逐项推动相关量化指标、子集团与运筹之风险辨识、衡量、响应、监控作业等相关企业持续营运之风险管理活动。
自2019年开始进一步往风险前兆做关键风险指标管理 (KRI,Key Risk Indicator),主要聚焦于资安风险、委外仓库实体安全风险、员工道德诚信风险、办公室紧急应变风险等四大面向。由控股风险管理服务处每季追踪管理并向控股与子集团执行长们汇报以及每半年向审计委员会报告。
信息安全管理
信息安全管理架构:
本公司为保护内部数据之机密性、完整性、可用性及适法性,以避免遭受各类网络安全之威胁,建立本信息安全管理措施计划如下。
- 于2020年9月启动 ISO 27001 信息安全管理制度导入,基于本公司所面临之风险,建立P-D-C-A循环机制,透过定期内部检视机制完善控管措。
- 预计将于 2021年完成本公司信息安全管理体系之强化,并进一步取得国际验证,以保护公司内部资料,强化客户对本公司的信心
信息安全管理政策:
本公司信息安全管理政策是参酌 ISO 27001之框架,完善国际标准各控制领域之要求,作为本公司为保护公司数据之日常维运基本控制措施,进一步确保信息安全管理框架之完整性,以符合客户、顾客、相关法令规定及信息业务最新发展现况。
- 人员管理 透过培训提升员工资安意识并内化于各项作业中,落实人为资安之核心。
- 资安监控 除内部资安监控能力之外,透过资安监控中心共同监控内外部异常活动,建立严密资安屏障。
- 营运持续 每年透过紧急应变演练、DR异地演练及可携式机房,确保对内及对外服务之可用性。
- 内控管理 透过每年定期资安内稽作业,检视内部资安管理政策视需要适时调整,确保内部资安管理措施之落实度以达管控措施持续精进 。