風險管理
即時掌握內外部風險並妥善對應,是全家永續經營的重要關鍵。
本公司建立完善的風險管理機制,識別並提前應對潛在風險,確保公司營運穩定成長,保障所有利害關係人權益,並履行對社會的永續責任。
風險管理體制
為有效落實風險管理機制,並評估企業的風險承擔能力,本公司經董事會通過制定「風險管理政策」,作為本公司風險管理之最高指導原則,其涵蓋營運過程中可能面臨的各類風險,並設有危機應對處理流程,確保在危機發生時能迅速有效地應對與控制。
隨著集團的發展,全家積極協助關係企業建立風險管理體制,每年針對策略、市場、營運、合規與財務等方面進行風險情境盤點,根據各企業的風險情境制定量身定制的應對機制。同時,我們也協助企業建立危機應對處理流程,確立危機發生時的對應層級及集團間的回報機制。
由於集團各關係企業在供應鏈中扮演密切合作的角色,若發生系統性危機事件,可能對多家企業產生影響,甚至導致供應鏈斷鏈。為此,全家每年選定重大風險事件,並定期舉辦集團間的重大危機演練,提升集團的危機處理能力。2024 年,全家進行了1 場重大危機演練,集團關係企業則共計舉辦了9 場演練。
本公司董事會為公司風險管理的最高決策單位,負責核定風險管理政策及架構,轄下之審計委員會負責監督風險相關策略執行,確保風險管理機制有效運作。為落實風險管理機制,我們每年定期進行風險應對機制的自評,並每年至少一次向審計委員會及董事會報告當年度集團風險管理執行成果,持續完善風險管理循環。
風險鑑別
危機應對機制
資通安全風險管理
政策與承諾
為建構安全的全通路供應鏈系統及包括實體環境、軟硬體、網路、資料、人員、控制程序等安全,免於因外部或內部之風險,遭受破壞、遺失、洩密或不當控制等資訊安全風險,特制訂資通安全政策:
- 訂定資訊安全管理規章,對本公司資訊資產提供適切的防護措施,以確保其安全性、機密性、完整性、可靠性。
- 定期評估風險對本公司資訊資產之影響,並訂定關鍵性業務之備援對策及災害復原計畫,確保本公司業務持續運作。
- 持續教育本公司同仁建立「資訊安全、人人有責」觀念,提升全體同仁對資訊安全之意識。
- 要求本公司全體同仁以及供應鏈相關之往來廠商,於連結資訊系統或提供服務,應確實遵守本公司資訊安全相關規定,如有違反者,視其情形依本公司規定懲處,情節嚴重者另將受相關法律之追訴。
資通安全風險管理架構
本公司為確保資訊安全落實於業務執行,成立「資訊治理委員會」,由執行副總經理擔任委員會召集人,並由各部門代表及集團關係企業代表擔任資訊治理委員,審議公司資訊安全策略、目標與業務之任務組織,定期召開資訊安全治理會議,並製成資訊安全治理報告,審查資通安全發展方向及策略。此外,設置資訊安全委員會為本公司資訊安全專責單位,負責管理與督導資訊安全工作之規畫、推動與執行。於 2023 年 11 月 6 日經董事會決議通過由該委員會資訊長兼任資安專責主管,專責單位人員為5人。
具體管理方案及投入資源
- 針對相關資通安全事務例行召開週會、月會及季會,開會次數共計 66 次,會議時數 132 小時。
- 針對資訊安全相關人員進行 120 分鐘教育訓練課程,對全體員工進行 30 分鐘資安教育課程。
- 2024 年寄發資安月報共計 12 份。
- 2024 年進行釣魚信測試,施測人數 1,634 人,每人 5 封,共計施測 8,170 封。
- 2024 年新增數位品牌防偽冒管理,共管理 Brand Abuse 90 件,Mobile Apps 1 件,Phishing 122 件。
- 其他相關費用總計約 2,030 萬元。
資通安全管理執行狀況
- 因應電子發票實施作業要點要求,於 2022 年 12 月由 BSI英國標準協會完成 ISO27001 資訊安全管理系統驗證及建議發證,並於 2023 年 1 月通過認證 (證書效期涵蓋期間為 2023/01/11~2025/10/31)。
- 因應電子發票應用程式介面使用規範要求,於 2024 年 11 月新增電子發票應用程式介面之 ISO27001 資訊安全管理系統驗證通過。
- 建置集團關係企業邊境聯防,強化閘道網路安全,擴大 24 小時全年無休之資訊安全管理中心管理範圍,實時監視、對應資訊安全風險。
- 全家數位學習平台「人資 e 網」設有「資訊學院」,每年辦理適用於全體同仁之資訊安全課程,以提升同仁的資安意識。
