為促進永續經營發展、強化公司治理並健全風險管理機制，可成科技董事會於2024年11月6日通過制定〈風險管理政策與程序〉。本公司風險管理程序涵蓋風險辨識與分析、風險評估、風險回應、監督與審查機制等主要階段。各單位依業務性質定期盤點相關風險項目，並依據重大性原則及利害關係人關注議題進行風險鑑別與分析，進而評估各項風險對公司營運之潛在影響程度，據以擬定風險管理措施與因應對策，確保營運韌性。

本公司風險管理範疇涵蓋環境（氣候變遷、生物多樣性、職業安全衛生、能源管理等議題）、社會與人權、公司治理（法令遵循、反貪腐與防舞弊、資訊安全）、財務風險以及其他營運相關風險。各項風險議題由功能性委員會負責督導，並由永續發展室統籌彙整與執行；永續發展室每年至少一次向功能性委員會及董事會報告風險管理之運作情形與成果。

• 第一級：各項風險所屬之業務或管理單位，於日常營運與管理作業中，依據《風險管理政策與程序》執行風險辨識、評估、監控及回應措施
• 第二級：稽核單位，定期執行稽核與檢討，評估各單位風險管理制度與執行落實情形，並提出改善建議，以確保風險控制之有效性
• 第三級：董事長轄下設置永續發展室，負責統籌風險管理，彙整各單位執行情形，並定期向功能性委員會及董事會報告，以確保風險管理機制持續精進

本公司積極落實風險管理制度，持續強化各項風險辨識、評估與控管作業。永續發展室於2025年11月6日向功能性委員會及董事會報告當年度風險管理運作情形，主要內容如下：

一、 重大關注議題之風險辨識、分析及評量

二、 重大風險議題之鑑別結果 (當期共15項重大議題)

當期重大風險議題之加權量化評分

*「生物多樣性」及「在地關懷與社會共融」於2023年評定為低度重大議題，於2024及2025年未再列入重大永續與風險議題範疇，惟本公司仍持續關注並揭露相關資訊。

三、 風險管理運作情形

針對各項重大風險議題，本公司已訂定相關風險管理機制、管理程序與辦法。截至目前無重大異常事件發生，各項風險減緩措施皆能有效落實。

【註】依據《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》規定，單一事件之罰鍰金額累計達新臺幣壹佰萬元（含）以上者，屬於重大事件。

本公司成立資訊安全推動小組，成員包含召集人、管理代表、執行秘書、資訊安全管理小組、資料保護小組、緊急處理小組(任務型)以及稽核小組，擬訂各項資訊安全發展方向及策略，推動及辦理資訊安全管理之各項工作，以確保資訊安全管理制度持續穩健運作。

• 資訊安全推動小組：本公司資訊安全之決策管理組織，綜理資訊安全之推動。
  
• 管理代表：統籌資訊安全相關議題之制度規劃、資源協調以及專案推行。
  
• 執行秘書：協助管理代表及召集人執行資訊安全管理業務。
  
• 資訊安全管理小組：負責本公司資訊系統資訊安全管理制度之規劃、建立、實施、維護、審查以及持續改善；向資訊安全推動小組提報資訊安全相關議題，協調確立稽核時程，監督稽核執行以及預防矯正改善等措施。
  
• 資料保護小組：負責公司資料及個資保護管理制度之推動。
  
• 緊急處理小組：任務編組；監測追蹤重大資訊安全事件發展，維護、更新並執行各項災害復原程序。
  
• 稽核小組：訂定資訊安全相關之稽核計畫、執行相關稽核作業、追蹤不符稽核準則事項之預防矯正措施。

架構圖

資訊安全政策

可成致力於資訊安全管理，保護公司產品與服務，避免有未經授權之存取、修改、使用與揭露，以及天然災害所引起之損失，並適時提供完整與可用資訊，確保公司重要資訊財產之機密性、完整性及可用性，同時符合相關法規要求，俾獲得客戶信賴，履行對股東承諾，保證公司重要業務之持續運作。

• 「全員參與、提升資安意識」：透過全員認知，達成資訊安全人人有責之共識。
  
• 「積極預防、落實資安管理」：建置各項資安技術，導入資訊安全管理制度，秉持Plan-Do-Check-Act (PDCA)原則持續改進。
  
• 「客戶信賴、確保永續經營」：提供安全及受客戶信賴之生產環境，確保公司業務永續營運。

資訊安全管理方案

為展現貫徹資訊安全管理決心，確保所有資訊與資訊系統獲得適當保護，本公司依據ISO/IEC 27001：2022標準建立、記載、實施以及維護資訊安全管理系統，並持續改進系統之有效性。

目標：

• 對本公司所儲存或傳遞之資訊採取適當保護及防範措施。
  
• 降低發生毀損、失竊、洩漏、竄改、濫用以及侵權等資通安全事件之衝擊。
  
• 持續提升各資訊服務系統所有作業之機密性、完整性與可用性。

資訊安全管理措施

本公司依據ISO/IEC 27001：2022標準，採用Plan-Do-Check-Act (PDCA)循環運作模式，建立與施行資訊安全管理系統，並維繫其有效運作與持續改進。

• 建立資訊安全管理組織，負責推動、協調及督導資訊安全管理事項。
  
• 每年執行一次管理審查以確保資訊安全管理系統運作之適切、充足與有效性；審查範圍包含資訊安全管理系統之改進方案與需求變更評估。
  
• 建立資訊安全指標，評估資訊安全績效與資訊安全管理制度之有效性。
  
• 定期或不定期進行安全評估或稽核作業，檢討控管目標、措施與程序是否合法合規，或符合相關資安需求，並依規畫有效執行與維持，以持續提升資訊安全管理系統之有效性。
  

資訊安全管理成果