公司治理

治理運作

誠信經營

本公司為配合主管機關推動公司治理,其中關於強化董事會職能之構面,因應誠信經營守則與誠信經營作業程序及行為指南之相關規定

風險管理

東碩為強化公司治理、降低營運可能面臨之各種風險,以確保長期穩健經營與永續發展,我們建制「企業風險管理政策與程序」,並依循重大性原則,針對營運相關之環境、社會責任及公司治理議題進行風險與機會的識別、評估、因應/監控與報告/揭露。

東碩依據可能面對的各種風險訂定相關的風險管理策略及主責單位,包含風險管理直接單位(營運單位/第一層機制)、風險管理及控制單位(第二層機制)、稽核室(第三層機制),從直接單位到管控單位做好全面性的風險管理。而每年度之風險管理運作情形,也由風險管理委員每年至少一次,向永續發展委員會及董事會報告。

東碩風險治理架構

資安治理

資通安全管理策略與架構

資通安全風險管理架構:
東碩於112年11月董事會通過由資訊長兼任資安長,另配置資訊安全主管一人及資訊專責人員一人,負責公司電腦網路及應用系統開發與維護,電腦硬體、周邊設備及資訊檔案維護與管理,以及資訊系統安全之規劃與執行。每年至少一次向董事會報告投入資通安全管理之資源及運作情形。

資通安全政策:

為確保公司網路和資訊使用環境安全及穩定,東碩依主管機關發佈之「上市上櫃公司資安管控指引」經董事會通過訂定本公司「資通安全風險管理作業程序」,並由資訊部負責推行及落實本規定之資通安全作業,其內容包括核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等。

資安具體管理方案與採行措施

類別 採行措施/作法
網路安全 網路資源管理
  • 關閉網路設備不使用的服務與功能,以降低風險。
  • 建立網路監控系統,及時瞭解網路運作情況,及早發現網路失效的情形或潛在風險。
網路安全管理
  • 設置防火牆(Firewall)於公司的內部網路與外部網路接界處,防止外部未經授權進入公司內部網路,並且定期檢視防火牆規則,以確認防火牆規則已適當設定。
  • 不定期委由外界專家或自行評估網路系統安全並進行安全修補,提高安全防禦能力。
  • 針對開發外界連線資訊系統,依照資料及系統的重要性,採取資訊加密、身分辨別、電子簽章等不同安全等級的技術或措施,降低資訊及系統受到入侵、破壞、篡改、刪除及未經授權存取的安全風險。
無線網路安全
  • 無線網路架設與使用須經過審慎的安全評估。
  • 無線網路卡與無線基地台間使用加密通訊協定。
電腦安全 電腦系統與實體設備保護
  • 各式電腦的系統應及時進行安全修補。
  • 各式電腦軟體及版權,集中由資訊單位管理。
  • 任何電腦均應設定螢幕保護裝置程式並設定密碼保護,防止他人未經授權使用電腦。
  • 注意使用任何電腦設備時,其電源使用不可超過電源負載量。
  • 廠商維護電腦主機設備時應有公司資訊單位人員陪同。
防毒軟體

公司所有電腦系統均安裝防毒軟體,實施並自動更新病毒庫,並定期執行病毒掃描。

  • 每位電腦系統使用者,應賦予獨立的通行帳號,且帳號應依業務需求賦予最低能滿足作業的許可權。
  • 職員離職或職位調動時,需立即取消或調整其帳號許可權。
  • 定期審查帳號及使用權限情況,確保符合現狀。
存取安全
  • 每位電腦系統使用者,應賦予獨立的通行帳號,且帳號應依業務需求賦予最低能滿足作業的許可權。
  • 職員離職或職位調動時,需立即取消或調整其帳號許可權。
  • 定期審查帳號及使用權限情況,確保符合現狀。
密碼安全管理
  • 所有通行帳號的登錄應設立獨立密碼,並強制使用者於第一次啟用帳號後更新密碼、制定並強制密碼設定需達一定強度設定原則、設定強制使用者定期更新密碼的要求、設定使用者密碼輸入錯誤達3次以上,系統自動將帳號暫時鎖定。
  • 輸入密碼時,電腦螢幕不得明白顯示所輸入之密碼。
  • 保存密碼的檔案應予以加密
應用系統管理 電子郵件使用安全
  • 明確規定員工禁止利用公司電子郵件從事工作業務以外的活動,並宣導員工不開啟來路不明的電子郵件。
  • 以業務及個人工作需要,對員工電子郵件內容及大小進行規範和限制。
  • 開啟郵件過濾及防毒機制,以過濾垃圾及可能含有病毒的郵件。
即時通訊軟體使用安全 安裝與使用即時通訊軟體,須按業務實際需要,進行審慎評估,且須採取適當的安全控管措施。
資料安全與備份
  • 機房設置溫度控制設備及消防設備,採門禁管制,限定僅特定人員才可進入,資料庫每日備份,並建置異地備援機制。
  • 任何資料存儲媒體進行報廢時,須徹底將其內資料銷毀,直至無法解讀。
  • 實體的機密資料,如紙張檔、重要合約等,宜妥善存放與保管。
異常事件處理常式及災害複原計劃
  • 針對常見資安事件與異常情況,擬定異常事件處理常式,以增加處理實效,並降低異常事件發生的傷害。
  • 按企業持續經營的原則,評估並理清重大業務衝擊威脅事件,據以制定災害復原計劃。
人員安全 人員安全管理
  • 對公司資訊單位人員的職責進行明確定義
  • 負責資訊安全相關工作或處理機密資訊的人員,需簽署保密協定。
  • 各種資訊安全工作,需有2人(或以上)瞭解,以應付緊急情況的需要。
安全認知訓練
  • 資訊安全事件應立即公告公司員工
  • 定期提供員工適當的資通安全認知或教育訓練
委外 委外管理
  • 資訊委外時,應與委外廠商簽訂契約,並將保密條款納入其中。
  • 電腦系統資訊委外業務完成後,應要求委外廠商提供詳細的系統檔及手冊。
  • 委外廠商人員如有派駐公司情況,派駐的委外人員電腦系統使用權限應予以適當控管。

投入資通安全管理之資源及運作情形

本公司新購入電腦安裝即時防毒軟體,並啟動自動與定期更新病毒碼功能,為確保各項資訊系統能持續提供穩定的服務,定期執行弱點掃描作業,找出潛在風險,進行弱點補強作業,採用趨勢Apex One服務,針對網路異常流量、入侵攻擊、惡意連線等,建立24小時即時防護,定期寄送防護報表,即時掌握防護效益;集團內持續由資訊部發布資訊安全意識文章,加強員工資訊安全知識,期能持續保持無資訊安全事故發生情形。 為持續保持本公司無資訊安全事故導致系統資料遺失發生情形,針對機房設置溫度控制設備及消防設備,機房採門禁管制,限制特定人員進入,SAP/BPM/PLM等重要資料庫每日備份,建置異地備援機制,備份資料保留30天。

本公司一向重視集團資訊安全相關作業,以維護公司資訊之機密性、完整性、可用性與適法性為目標,並致力於避免發生人為疏失、蓄意破壞與自然災害時,遭致資訊與資產遭致不當使用、洩漏、竄改、毀損、消失等情形;本公司資訊系統硬體基礎設施及各項防護設施,均已強化資訊安全事件之應變處理能力,保護公司與客戶之資產安全。資訊部每年均定期執行各項資訊安全相關之檢測及評估作業。

聯絡我們

我們使用 Cookie 來提供我們網站上提供的服務和功能,並改善我們的使用者體驗。使用本網站即表示您同意使用 cookie 並同意 隱私權政策

同意