為促進公司永續經營、強化公司治理並健全風險管理機制，本公司董事會於2024年11月6日通過制定〈風險管理政策與程序〉，並由審計委員會負責督導風險管理相關事項。為進一步強化風險管理與永續治理架構，本公司於2025年11月6日於董事會轄下設置「永續發展暨風險管理委員會」，統籌督導風險管理相關工作，並由永續發展室負責彙整各項風險議題及執行風險管理作業。永續發展室至少每年一次向永續發展暨風險管理委員會及董事會報告風險管理之運作情形與執行成果，以確保風險治理機制之有效運作。

本公司風險管理範疇涵蓋環境（氣候變遷、生物多樣性、職業安全衛生、能源管理等議題）、社會與人權、公司治理（法令遵循、反貪腐與防舞弊、資訊安全）、財務風險以及其他營運相關風險；風險管理程序涵蓋風險辨識與分析、風險評估、風險回應、監督與審查機制等主要階段。各單位依業務性質定期盤點相關風險項目，並依據重大性原則及利害關係人關注議題進行風險鑑別與分析，進而評估各項風險對公司營運之潛在影響程度，據以擬定風險管理措施與因應對策，確保營運韌性。

風險管理層級與職責

• 第一級防線：各項風險所屬之業務或管理單位，於日常營運與管理作業中，依據《風險管理政策與程序》執行風險辨識、評估、監控及回應措施
• 第二級防線：稽核單位，定期執行稽核與檢討，評估各單位風險管理制度與執行落實情形，並提出改善建議，以確保風險控制之有效性
• 第三級防線：董事長轄下設置永續發展室，負責統籌風險管理，彙整各單位執行情形，並定期向永續發展暨風險管理委員會及董事會報告，以確保風險管理機制持續精進

本公司積極落實風險管理制度，持續強化各項風險辨識、評估與控管作業。永續發展室於2025年11月6日向審計委員會及董事會報告當年度風險管理運作情形，主要內容如下：

(一) 關注議題之風險辨識、分析及評量

二、 重大風險議題之鑑別結果 (當期共15項重大議題)

當期重大風險議題之加權量化評分

*「生物多樣性」及「在地關懷與社會共融」於2023年評定為低度重大議題，於2024及2025年未再列入重大永續與風險議題範疇，惟本公司仍持續關注並揭露相關資訊。

三、 風險管理運作情形

針對各項重大風險議題，本公司已訂定相關風險管理機制、管理程序與辦法。截至目前無重大異常事件發生，各項風險減緩措施皆能有效落實。

【註】依據《臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序》規定，單一事件之罰鍰金額累計達新臺幣壹佰萬元（含）以上者，屬於重大事件。

本公司成立資訊安全推動小組，成員包含召集人、管理代表、執行秘書、資訊安全管理小組、資料保護小組、緊急處理小組(任務型)以及稽核小組，擬訂各項資訊安全發展方向及策略，推動及辦理資訊安全管理之各項工作，以確保資訊安全管理制度持續穩健運作。

• 資訊安全推動小組：本公司資訊安全之決策管理組織，綜理資訊安全之推動。
  
• 管理代表：統籌資訊安全相關議題之制度規劃、資源協調以及專案推行。
  
• 執行秘書：協助管理代表及召集人執行資訊安全管理業務。
  
• 資訊安全管理小組：負責本公司資訊系統資訊安全管理制度之規劃、建立、實施、維護、審查以及持續改善；向資訊安全推動小組提報資訊安全相關議題，協調確立稽核時程，監督稽核執行以及預防矯正改善等措施。
  
• 資料保護小組：負責公司資料及個資保護管理制度之推動。
  
• 緊急處理小組：任務編組；監測追蹤重大資訊安全事件發展，維護、更新並執行各項災害復原程序。
  
• 稽核小組：訂定資訊安全相關之稽核計畫，執行相關稽核作業，追蹤不符稽核準則事項之預防矯正措施。

架構圖

資訊安全政策

可成科技致力於資訊安全管理，透過完善之管理制度與技術控管措施，保護公司產品、服務及資訊資產，防範未經授權之存取、修改、使用與揭露，並降低天然災害及其他突發事件所可能造成之損失。本公司確保資訊之即時性、完整性與可用性，以維護重要資訊資產之機密性、完整性及可用性，同時遵循相關法令與規範，藉此深化客戶信賴、履行對股東之承諾，並確保關鍵業務之持續運作與公司之永續經營。

• 「全員參與，提升資安意識」：透過全員參與與持續教育訓練，建立資訊安全人人有責之組織文化。
  
• 「積極預防，落實資安管理」：建置完善之資訊安全防護技術，導入資訊安全管理制度，並依循Plan-Do-Check-Act(PDCA)循環機制，持續檢討與精進管理成效。
  
• 「客戶信賴，確保永續經營」：提供安全、穩定且受客戶信賴之營運與生產環境，確保公司業務長期穩健發展。
  

資訊安全管理方案

為展現本公司貫徹資訊安全管理之決心，並確保所有資訊資產與資訊系統均獲得適當保護，本公司依循ISO/IEC 27001：2022標準，建置、記載、實施及維護資訊安全管理系統，並透過持續改善機制，不斷提升系統運作之有效性。

目標：

• 針對本公司所儲存、處理或傳遞之各項資訊，採取適切之保護與防護措施。
  
• 降低資訊資產遭毀損、失竊、洩漏、竄改、濫用或侵權等資通安全事件之發生風險及衝擊。
  
• 持續強化各項資訊服務與系統於所有作業流程中的機密性、完整性與可用性。
  

資訊安全管理措施

本公司依據ISO/IEC 27001：2022標準，採用Plan-Do-Check-Act (PDCA)循環運作模式，建立與施行資訊安全管理系統，並維繫其有效運作與持續改進。

• 建立完善之資訊安全管理組織，負責資訊安全政策之推動、跨部門協調與執行情形之督導。
  
• 每年執行一次管理審查，確保資訊安全管理系統運作之適切性、充分性與有效性；審查內容涵蓋管理制度改進方案及重大需求或環境變動之影響評估。
  
• 訂定並持續追蹤資訊安全關鍵績效指標(KPI)，評估資訊安全績效及整體資訊安全管理制度之有效性。
  
• 定期或視需要進行資訊安全評估與稽核作業，檢視控管目標、措施與作業程序之法令遵循及資安要求符合性，並依計畫落實改善與維運作業，持續提升資訊安全管理系統之成熟度與成效。

資訊安全管理成果