項目 | 說明 | 112年運作情形 |
---|---|---|
環境風險 | 因天然災害之故,造成總部、門市無法正常運營之不確定事件,包含:颱風/地震/缺水/傳染病、氣候變遷、其他衝擊性災害等。 公司以節能減碳為目標。 |
門市持續導入POS點餐系統、更換節能電器與照明系統等,加強推動減碳目標,設定每間直營店之溫室氣體平均排放量為兩年內至少降低1%。 |
食品安全風險 | 食品/原物料採購、製造、販售過程中,對於公司運營產生負向影響之不確定性事件,包含:食品不當添加、問題原物料、過期品等。 公司訂有食安政策,配合政府計畫建立自主檢驗實驗室,落實源頭管理及門市衛生安全。 公司為轉嫁商品責任風險、減輕財務損失,已投保產品責任險5,000萬(總額)。 |
|
公共安全風險 | 可歸咎我方因素所造成之事件,對門市及非特定人造成財物損失、機會損失之情形,包含:未依規範施工造成人員傷害、電線走火/後場吸菸、火災、門市招牌砸傷民眾等。 |
|
勞動安全風險 | 未依照相關勞動管理之法規或其他非特定原因,造成勞工臨時性、永久性之意外傷害之不確定性事件,包含:未依法加保勞/健保、超時工作/排班異常、員工福利侵害等。 每年定期舉辦消防演練及教育訓練,培養員工緊急應變和自我安全管理的能力。 |
|
資訊安全風險 | 因個人資料外洩,遭致非特定個人之權益受損之不確定性事件。資訊系統、當機、故障、資料毀損或遭入侵等,造成公司營運中斷或盜用,對公司運營產生影響,包含:駭客入侵、資料竊取、資訊系統損害無法運作、系統異常等。 |
|
策略風險 | 總體經濟情勢變動、產業市場變化、技術發展變革、政策法規變動、競爭者變化等風險。 |
|
信用風險 | 客戶、供應商或其他業務往來者(包含往來銀行)因本身體質惡化或其他因素,導致其不履行其義務而產生損失之風險。 |
|
營運風險 | 生產作業、供應鏈、原物料及產品價格波動、顧客銷售、智慧財產權、人力資源、企業形象、租稅、法律訴訟等各項營運要素變動風險 | 每月召開經營管理會議,由各單位主管參與,針對營運計畫達成狀況,進行績效追蹤及分析檢討,對於各項營運要素變動之風險展開因應策略。 |
財務風險 | 包括因利率、匯率等波動產生之市場風險,交易對象之信用違約風險,及無法將資產變現或取得足夠資金、市場交易量不足之流動性風險等 |
|
(1)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(2)科技運用:建置資訊安全管理設備,落實資安管理措施。
(3)教育訓練:進行資訊安全教育訓練,提昇內部同仁資安意識。
項目 | 管理內容 |
---|---|
資訊處理部門之功能及職責劃分 | 資訊人員皆填具保密切結書,離職時取消其辨識碼並繳回員工識別證及相關證件。 |
應用系統維護管理 | 委外作業須簽訂契約以保障雙方之權利義務,內容包含符合公司資訊安全政策規範及法律要求。 委外人員電腦通行之使用權利經權責主管核准,委外期間結束後立即收回該項權利。 |
電腦系統管理 | 密碼以亂碼方式儲存。 使用者第一次使用系統時,需更新初始密碼後方可繼續作業。 對於程式及檔案之存取使用依照權限區分。 人員異動時即時更新其使用權限。 |
電腦作業管理 | 電腦機房保持上鎖,鑰匙由資訊人員保管,同仁不得任意進出機房。 機房設置防火設施並定期檢驗。 電腦設備設置獨立之電源供應系統,包含不斷電設備及發電機等設備。 重要軟體、文件及清冊抄錄備份,存於另一安全處所。 存放備份資料之儲存媒體於其標籤上註明存放資料之名稱及保存期限。 |
備份及回復作業 | 系統之復原程序明確訂定,並製成文件,以為遵循之依據。 系統復原程序定期性測試演練,測試演演後召開檢討會議,針對缺失謀求改進。 |
網路安全管理 | 定期評估自身網路系統安全(例如:作業系統、網站伺服器、瀏覽器、防火牆及防毒軟體版本),並留存相關紀錄。 定期或適時修補網路運作環境之安全漏洞,並留存相關文件。 有關電腦網路安全(例如:資訊安全政策宣導、防範網路駭客入侵事件及電腦防毒等)事項隨時公告。 各項網路服務使用依據資訊安全政策設定,並關閉不必要之網路服務。若需增減需經申請後權責主管同意才可執行。 員工遠端登入管理資訊系統需經申請後權責主管同意才可開放。 電腦主機及重要軟硬體設備設置專人負責。 定期檢核各項資安項目之system log,追蹤處理異常項目並留下紀錄。 |
防火牆之安全管理 | 建立防火牆並設置專人管理。 防火牆進出紀錄及備份至少保存兩個月。 防火牆之日誌檔定期檢核,並經權責主管核閱。 重要網站及伺服器系統以防火牆及外部網際網路隔離。 防火牆系統之政策條需經權責主管核准。 電腦病毒及惡意軟體之防範: 安裝防毒軟體並即時更新程式及病毒碼。 定期對電腦系統及資料儲存媒體進行病毒掃描(含電子郵件)。 防毒系統涵蓋個人端及伺服器端電腦 |
資安教育訓練 | 每年定期實施內部人員資訊安全教育訓練,藉以提昇內部人員資安知識與技能。 |
為實踐資訊安全政策,投入之資源如下:
(1)防火牆硬體(Fortinet)設備的升級及韌體版本更新。
(2)雲端防毒(Sophos)技術的應用-病毒碼零時差的更新,並減少使用者終端的運算量。
(3)工作負載移轉至Microsoft Azure-免於惡意威脅、維護網路流量的安全,並滿足法規與合規性需求。
(4)資安管理軟體smartIT的配置-USB自動加密,限用儲存裝置,檔案異動記錄備份,避免資料外流。
(5)資安人力的投入,目前資安主管一名及資安人員一名均為兼任,負責資安架構設計、資安維運與監控、資安事件回應與調查與資安政策檢討與修訂。