風險管理

風險管理組織架構

    為完善管理企業風險,大聯大投資控股股份有限公司制定了風險管理政策與指導原則,於2016年一月經董事會核准通過,作為落實執行風險管理之準則。明確定義大聯大投資控股股份有限公風險管理之範疇、組織架構、職責以及管理運作之執行情形。

    審計委員會負責監督大聯大風險管理政策的制定與執行,大聯大控股執行長設置控股風險管理單位負責風險管理與風險回應追縱。大聯大控股與各集團以及運籌風險管理單位或專責單位負責落實大聯大整體之風險管理的執行作業。

 大聯大風險管理小組組織

風險管理作業程序

    風險管理流程包括：風險辨識、風險衡量、風險監控、風險報告與風險回應措施。風險管理單位應就大聯大控股營運過程中所面臨之各項風險因子加以辨識,透過衝擊度與脆弱度來挑選須優先關注的風險項目,由風險關係部門進行風險回應再由大聯大控股風險管理單位定期追縱,與定期在控股CEO會議揭露風險回應計畫執行的狀況。

    大聯大投資控股股份有限公司自2017年成立風險管理服務處後,陸續展開一連串的風險管理工作,包含控股的九大關鍵風險項目與逐項推動相關量化指標、子集團與運籌之風險辨識、衡量、回應、監控作業等相關企業持續營運之風險管理活動。

自2019年開始進一步往風險前兆做關鍵風險指標管理 (KRI,Key Risk Indicator),主要聚焦於資安風險、委外倉庫實體安全風險、員工道德誠信風險、辦公室緊急應變風險等四大面向。由控股風險管理服務處每季追蹤管理並向控股與子集團執行長們彙報以及每半年向審計委員會報告。

資訊安全管理

 資訊安全管理架構:

 本公司為保護內部資料之機密性、完整性、可用性及適法性，以避免遭受各類網路安全之威脅，建立本資訊安全管理措施計畫如下。

• 於2020年9月啟動 ISO 27001 資訊安全管理制度導入，基於本公司所面臨之風險，建立P-D-C-A循環機制，透過定期內部檢視機制完善控管措。
• 預計將於 2021年完成本公司資訊安全管理體系之強化，並進一步取得國際驗證，以保護公司內部資料，強化客戶對本公司的信心

資訊安全管理政策:

本公司資訊安全管理政策是參酌 ISO 27001之框架，完善國際標準各控制領域之要求，作為本公司為保護公司資料之日常維運基本控制措施，進一步確保資訊安全管理框架之完整性，以符合客戶、顧客、相關法令規定及資訊業務最新發展現況。

• 人員管理  透過培訓提升員工資安意識並內化於各項作業中，落實人為資安之核心。
• 資安監控  除內部資安監控能力之外，透過資安監控中心共同監控內外部異常活動，建立嚴密資安屏障。
• 營運持續  每年透過緊急應變演練、DR異地演練及可攜式機房，確保對內及對外服務之可用性。
• 內控管理  透過每年定期資安內稽作業，檢視內部資安管理政策視需要適時調整，確保內部資安管理措施之落實度以達管控措施持續精進 。