-
首页
-
企业永续
-
公司治理
公司治理
治理运作
诚信经营
本公司为配合主管机关推动公司治理,其中关于强化董事会职能之构面,因应诚信经营守则与诚信经营作业程序及行为指南之相关规定
风险管理
东硕为强化公司治理、降低营运可能面臨之各种风险,以确保长期稳健经营与永续发展,我们建制「企业风险管理政策与程序」,并依循重大性原则,针对营运相关之环境、社会责任及公司治理议题进行风险与机会的识别、评估、因应/监控与报告/揭露。
东硕依据可能面对的各种风险订定相关的风险管理策略及主责单位,包含风险管理直接单位(营运单位/第一层机制)、风险管理及控制单位(第二层机制)、稽核室(第三层机制),从直接单位到管控单位做好全面性的风险管理。而每年度之风险管理运作情形,也由风险管理委员每年至少一次,向永续发展委员会及董事会报告。
东硕风险治理架构
资安治理
资通安全管理策略与架构
资通安全风险管理架构:
东硕于112年11月董事会通过由资讯长兼任资安长,另配置资讯安全主管一人及资讯专责人员一人,负责公司电脑网路及应用系统开发与维护,电脑硬体、周边设备及资讯档案维护与管理,以及资讯系统安全之规划与执行。每年至少一次向董事会报告投入资通安全管理之资源及运作情形。
资通安全政策:
为确保公司网路和资讯使用环境安全及稳定,东硕依主管机关发布之「上市上柜公司资安管控指引」经董事会通过订定本公司「资通安全风险管理作业程序」,并由资讯部负责推行及落实本规定之资通安全作业,其内容包括核心业务及其重要性、资通系统盘点及风险评估、资通系统发展及维护安全、资通安全防护及控制措施、资通系统或资通服务委外办理之管理措施、资通安全事件通报应变及情资评估因应、资通安全之持续精进及绩效管理机制等。
资安具体管理方案与采行措施
| 类别 | 采行措施/作法 | |
|---|---|---|
| 网路安全 | 网路资源管理 |
|
| 网路安全管理 |
|
|
| 无线网路安全 |
|
|
| 电脑安全 | 电脑系统与实体设备保护 |
|
| 防毒软体 |
公司所有电脑系统均安装防毒软体,实施并自动更新病毒库,并定期执行病毒扫描。
|
|
| 存取安全 |
|
|
| 密码安全管理 |
|
|
| 应用系统管理 | 电子邮件使用安全 |
|
| 即时通讯软体使用安全 | 安装与使用即时通讯软体,须按业务实际需要,进行审慎评估,且须采取适当的安全控管措施。 | |
| 资料安全与备份 |
|
|
| 异常事件处理常式及灾害复原计划 |
|
|
| 人员安全 | 人员安全管理 |
|
| 安全认知训练 |
|
|
| 委外 | 委外管理 |
|
投入资通安全管理之资源及运作情形
本公司新购入电脑安装即时防毒软体,并启动自动与定期更新病毒码功能,为确保各项资讯系统能持续提供稳定的服务,定期执行弱点扫描作业,找出潜在风险,进行弱点补强作业,采用趋势Apex One服务,针对网路异常流量、入侵攻击、恶意连线等,建立24小时即时防护,定期寄送防护报表,即时掌握防护效益;集团内持续由资讯部发布资讯安全意识文章,加强员工资讯安全知识,期能持续保持无资讯安全事故发生情形。 为持续保持本公司无资讯安全事故导致系统资料遗失发生情形,针对机房设置温度控制设备及消防设备,机房采门禁管制,限制特定人员进入,SAP/BPM/PLM等重要资料库每日备份,建置异地备援机制,备份资料保留30天。
本公司一向重视集团资讯安全相关作业,以维护公司资讯之机密性、完整性、可用性与适法性为目标,并致力于避免发生人为疏失、蓄意破坏与自然灾害时,遭致资讯与资产遭致不当使用、泄漏、窜改、毁损、消失等情形;本公司资讯系统硬体基础设施及各项防护设施,均已强化资讯安全事件之应变处理能力,保护公司与客户之资产安全。资讯部每年均定期执行各项资讯安全相关之检测及评估作业。
