風險管理
風險管理
風險管理政策
為完善管理企業風險,大聯大投資控股股份有限公司於2016年1月經董事會核准通過風險管理政策與指導原則,明確定義大聯大投資控股股份有限公風險管理之範疇、組織架構、職責以及管理運作之執行情形,作為落實執行風險管理之準則。
風險管理組織架構
大聯大風險管理最高決策單位為大聯大風險管理決策小組,由四大子集團執行長與控股執行長組成。其中控股執行長為決策小組召集人,每年至少一次向董事會呈報負責。風險管理服務處獨立運作於業務單位之上。
風險管理流程
大聯大風險管理流程包括:風險辨識、風險評估、風險監控、風險回應與追蹤,詳細說明如下:
- 風險辨識
大聯大風險管理服務處將大聯大面臨之風險項目依重大性原則分為五大類,詳如表述。
- 風險評估
風險管理服務處及各功能單位依據各類風險因子的發生可能性與衝擊程度,建立風險矩陣,並以量化之衡量方法鑑別關鍵風險項目
- 風險監控
各功能單位應監控所屬業務的風險,並擬定因應管控措施。
- 風險回應與追蹤
風險管理服務處每月進行關鍵風險回應計畫追蹤管理,並呈報風險管理決策小組。
2020 年關鍵風險辨識及風險管控措施
資訊安全
資訊安全治理制度
為保護內部資料之機密性、完整性、可用性及適法性,以避免遭受各類網路安全之威脅,大聯大控股於2020年9月啟動建製 ISO 27001 資訊安全管理體系,基於本公司所面臨之風險,建立P-D-C-A循環機制,搭配定期內部檢視機制,完善資訊安全管理體系,並於2021年6月取得ISO27001認證,完成本公司資訊安全管理體系之強化,證書之有效期為2021年7月至2024年7月。
「大聯大資訊安全政策」由董事會核定,參酌 ISO 27001之框架,完善國際標準各控制領域之要求,作為本公司為保護公司資料之日常維運基本控制措施,進一步確保資訊安全管理框架之完整性,以符合客戶、顧客、相關法令規定及資訊業務最新發展現況。此政策以書面、電子郵件或其他方式告知利害關係人。
本公司設立資訊安全管理委員會,由任務型編組團隊作為主要成員,負責執行資訊安全管理體系內各項工作,並定期檢視「大聯大資訊安全政策」,於修訂時提報董事會予以核准。
資訊安全風險管理及持續改善架構
資訊安全管理機制
本公司具體之資訊安全管理方案,主要涵蓋以下面向:
- 人員管理: 透過不斷培訓以提升員工資安意識並內化於各項作業中,落實「人即資安」之核心。
- 資安監控管理: 除內部資安監控能力之外,透過資安監控中心共同監控內外部異常活動,建立嚴密資安屏障。
- 事件管理: 定義事件等級與通報流程,以迅速回應資訊安全事件,並在最短時間內完成回復。
- 供應商管理: 嚴格要求供應商知悉並遵守本公司資訊安全要求,並將必要之資訊安全條款納入合作契約內。
- 日常作業管理: 透過管理程序之制定,控管包括資訊系統建置、變更、網路管理、實體環境進出控制等作業。
- 營運持續管理: 每年透過緊急應變演練、DR異地演練及可攜式機房,確保對內及對外服務之可用性。
- 內控管理: 每年定期執行資訊安全自行查核,確保內部資安管理措施之落實度以達管控措施持續精進。
- 資訊安全指標管理: 將各項作業之預期成效,設計為資訊安全指標,透過指標之定期量測,確保皆有符合本公司資訊安全目標與要求。
近三年無資訊安全相關事件與財務衝擊,且無因資訊安全事件造成客戶資訊外洩之情事。