風險管理政策與程序
為強化公司治理、建立健全之風險管理作業,經董事會通過風險管理政策(2020年12月16日),指導公司各單位辦理其業務時應有效辨識、衡量、監督與控制各項風險,並將可能產生的風險控制在可承受之程度內以達成風險與報酬合理化之目標及公司永續經營之目的。
風險管理範疇
本公司從事各項業務所涉及之風險包括營運風險、市場風險、財務風險、氣候變遷與環境風險、職業安全風險、資安風險、合規風險等。
組織架構
風險管理運作情形
本公司於2020年開始推動風險管理機制,並於當年度起每年一次向董事會報告其運作情形。2024年本公司召開風險管理會議,辨識公司面臨之風險、風險評估及風險因應措施,並於2024年12 月20日向永續發展委員會及董事會報告本公司風險管理執行情形,包括風險辨識、評估風險之影響(包括永續議題、氣候風險)及所採風險管理策略之運作情形。
2024年重大主題矩陣
資通安全管理策略與架構
(一)資通安全風險管理架構
1. 資訊安全組織
本集團之營運主體Apex Circuit (Thailand) Co., Ltd. (APT) 於西元2022年(民國111年)設立資訊安全委員會(Information Security Management System Committee; ISMS Committee),成員共34人,於2023年度共召開13次會議。委員會下轄APT資安運作中心(Cyber Security Operation Center; CSOC)負責統籌本集團資訊安全及保護相關政策制定、執行、風險管理與遵循度查核,由該中心之資訊安全專責主管每年向母公司董事會及執行長彙報資安管理成效、資安相關議題及方向。本集團稽核室進行稽核,確保內部遵循資安相關準則、程序與法規。
本集團為執行資安運作中心訂定的資安策略,確保內部遵循資安相關準則、程序與法規,由資訊安全專責主管與該中心人員會同業務部門、人力資源部門、工程部門以及法務部門等,每年檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性。
2. 本集團資訊安全委員會架構
(二)資通安全政策
1. 本集團資訊安全管理策略與架構
資訊安全與營運資料保護是企業永續發展與維持核心競爭力的重要基石,為增進本集團資通作業安全及穩定之運作,確保資訊資產之機密性、完整性及可用性,以順利推展本集團各項業務,本集團致力於強化資訊安全管理機制與防禦能力,建立安全及可信賴之電腦化作業環境,確保系統、資料、設備及網路安全,以保護公司重要資訊資產及資訊系統作業正常運作。
本集團資訊安全組織為有效落實資安管理,透過資安運作中心每月召開例行會議,依據規畫、執行、查核與行動(Plan-Do-Check-Action, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期與資訊安全委員會回報執行成效。
2. 具體管理方案
(1) 網路安全
導入先進技術執行電腦掃描及系統與軟體更新
強化網路防火牆與網路控管,防止電腦病毒跨機台及跨區擴散
(2) 設備安全
建置機台入廠掃毒機制,防止內含惡意軟體的機台進入集團
依電腦類型建置端點防毒措施,強化惡意軟體行為偵測
(3) 應用程式安全
制定開發流程應用程式安全檢核表與評核標準及改善目標
持續強化應用程式安全控管機制,並整合於開發流程及平台
(4) 資料安全保護技術強化
開發先進資訊保護工具,藉由資料標籤加強文件機密分類及資料保護
文件及資料加密控管與有效追蹤
郵件外寄控管
(5) 教育訓練
加強員工對郵件社交工程攻擊的警覺性並執行釣魚郵件防禦偵測
定期舉辦員工資安能力演練,提升員工資安意識
(6) 資安成熟度評鑑
委託外部專家(包括資訊安全稽核組織、網路資安風險評核機構)定期執行本集團網路與資訊安全評鑑
整合第三方驗證之客觀結果與威脅情資,進行風險分析並對資安管理體制進行強化
3. 投入資通安全管理之資源
總計投入泰銖8,605,000提升資訊安全防護。