治理運作
公司治理評鑑結果
| 公司治理評鑑 | 參與評鑑上市櫃公司 | 依市值(未達 50 億元類) | ||
|---|---|---|---|---|
| 家數 | 東碩百分比 | 家數 | 東碩百分比 | |
| 113年(第十一屆) | 778 | 51% - 65% | 802 | 41% - 60% |
| 112年(第十屆) | 754 | 51% - 65% | 816 | 41% - 60% |
| 111年(第九屆) | 734 | 51% - 65% | 未公布 | |
| 110年(第八屆) | 726 | 51% - 65% | 未公布 | |
| 109年(第七屆) | 712 | 36% - 50% | 未公布 | |
| 108年(第六屆) | 699 | 21% - 35% | 未公布 | |
| 107年(第五屆) | 686 | 21% - 35% | 未公布 | |
| 106年(第四屆) | 675 | 21% - 35% | 未公布 | |
| 105年(第三屆) | 653 | 21% - 35% | 未公布 | |
誠信經營
本公司之董事、經理人、受僱人、受任人及實質控制者應盡善良管理人之注意義務,督促公司防止不誠信行為,並隨時檢討其實施成效及持續改進,確保誠信經營政策之落實。
本公司為健全誠信經營之管理,指定董事長室為專責單位,隸屬於董事會,負責誠信經營政策與防範方案之制定及監督執行。
主要職掌下列事項:
- 協助將誠信與道德價值融入公司經營策略,並配合法令制度訂定確保誠信經營之相關防弊措施。
- 訂定防範不誠信行為方案,並於各方案內訂定工作業務相關標準作業程序及行為指南。
- 規劃內部組織、編制與職掌,對營業範圍內較高不誠信行為風險之營業活動,安置相互監督制衡機制。
- 誠信政策宣導訓練之推動及協調。
- 規劃檢舉制度,確保執行之有效性。
- 協助董事會及管理階層查核及評估落實誠信經營所建立之防範措施是否有效運作,並定期就相關業務流程進行評估遵循情形,作成報告。
建立舉報機制
本公司於2013年訂定「誠信經營守則」並建立檢舉制度,並於公司官網提供檢舉受理窗口、受理程序及回覆方式等資訊。
而為確保公司永續發展,鼓勵檢舉任何非法行為,於企業社會責任行為準則中明確規範,將保障身份保密與匿名申訴,確保供應商與員工檢舉人的身份機密性。
誠信經營執行情形
本公司每年至少舉辦一次內部宣導,向全體董事、經理人、受僱人宣達誠信之重要性,以授課、電子郵件及紙本傳簽方式進行教育訓練,以落實誠信經營政策,並積極防範不誠信行為;截至目前公司內未發生不誠信之行為,實際運作情形與本公司守則無差異。
本公司定期(至少一年一次)向董事會報告,最近一次報告日期為 114 年 11 月 04 日。
2025年董事會報告執行情形
本公司 114年度進行與誠信經營議題相關之教育訓練,計1,654人次。
誠信經營守則宣導
風險管理
東碩為強化公司治理、降低營運可能面臨之各種風險,以確保長期穩健經營與永續發展,我們建制「企業風險管理政策與程序」,並依循重大性原則,針對營運相關之環境、社會責任及公司治理議題進行風險與機會的識別、評估、因應/監控與報告/揭露。
東碩依據可能面對的各種風險訂定相關的風險管理策略及主責單位,包含風險管理直接單位(營運單位/第一層機制)、風險管理及控制單位(第二層機制)、稽核室(第三層機制),從直接單位到管控單位做好全面性的風險管理。而每年度之風險管理運作情形,也由風險管理委員每年至少一次,向永續發展委員會及董事會報告。
東碩風險治理架構
資安治理
資通安全管理策略與架構
資通安全風險管理架構:
東碩於112年11月董事會通過由資訊長兼任資安長,另配置資訊安全主管一人及資訊專責人員一人,負責公司電腦網路及應用系統開發與維護,電腦硬體、周邊設備及資訊檔案維護與管理,以及資訊系統安全之規劃與執行。每年至少一次向董事會報告投入資通安全管理之資源及運作情形。
資通安全政策:
為確保公司網路和資訊使用環境安全及穩定,東碩依主管機關發佈之「上市上櫃公司資安管控指引」經董事會通過訂定本公司「資通安全風險管理作業程序」,並由資訊部負責推行及落實本規定之資通安全作業,其內容包括核心業務及其重要性、資通系統盤點及風險評估、資通系統發展及維護安全、資通安全防護及控制措施、資通系統或資通服務委外辦理之管理措施、資通安全事件通報應變及情資評估因應、資通安全之持續精進及績效管理機制等。
資安具體管理方案與採行措施
| 類別 | 採行措施/作法 | |
|---|---|---|
| 網路安全 | 網路資源管理 | 1. 關閉網路設備不使用的服務與功能,以降低風險。 2. 建立網路監控系統,及時瞭解網路運作情況,及早發現網路失效的情形或潛在風險。 |
| 網路安全管理 | 1. 設置防火牆(Firewall)於公司的內部網路與外部網路接界處,防止外部未經授權進入公司內部網路,並且定期檢視防火牆規則,以確認防火牆規則已適當設定。 2. 不定期委由外界專家或自行評估網路系統安全並進行安全修補,提高安全防禦能力。 3. 針對開發外界連線資訊系統,依照資料及系統的重要性,採取資訊加密、身分辨別、電子簽章等不同安全等級的技術或措施,降低資訊及系統受到入侵、破壞、篡改、刪除及未經授權存取的安全風險。 |
|
| 無線網路安全 | 1. 無線網路架設與使用須經過審慎的安全評估。 2. 無線網路卡與無線基地台間使用加密通訊協定。 |
|
| 電腦安全 | 電腦系統與實體設備保護 | 1. 各式電腦的系統應及時進行安全修補。 2. 各式電腦軟體及版權,集中由資訊單位管理。 3. 任何電腦均應設定螢幕保護裝置程式並設定密碼保護,防止他人未經授權使用電腦。 4. 注意使用任何電腦設備時,其電源使用不可超過電源負載量。 5. 廠商維護電腦主機設備時應有公司資訊單位人員陪同。 |
| 防毒軟體 | 公司所有電腦系統均安裝防毒軟體,實施並自動更新病毒庫,並定期執行病毒掃描。 1. 每位電腦系統使用者,應賦予獨立的通行帳號,且帳號應依業務需求賦予最低能滿足作業的許可權。 2. 職員離職或職位調動時,需立即取消或調整其帳號許可權。 3. 定期審查帳號及使用權限情況,確保符合現狀。 |
|
| 存取安全 | 1. 每位電腦系統使用者,應賦予獨立的通行帳號,且帳號應依業務需求賦予最低能滿足作業的許可權。 2. 職員離職或職位調動時,需立即取消或調整其帳號許可權。 3. 定期審查帳號及使用權限情況,確保符合現狀。 |
|
| 密碼安全管理 | 1. 所有通行帳號的登錄應設立獨立密碼,並強制使用者於第一次啟用帳號後更新密碼、制定並強制密碼設定需達一定強度設定原則、設定強制使用者定期更新密碼的要求、設定使用者密碼輸入錯誤達3次以上,系統自動將帳號暫時鎖定。 2. 輸入密碼時,電腦螢幕不得明白顯示所輸入之密碼。 3. 保存密碼的檔案應予以加密。 |
|
| 應用系統管理 | 電子郵件使用安全 | 1. 明確規定員工禁止利用公司電子郵件從事工作業務以外的活動,並宣導員工不開啟來路不明的電子郵件。 2. 以業務及個人工作需要,對員工電子郵件內容及大小進行規範和限制。 3. 開啟郵件過濾及防毒機制,以過濾垃圾及可能含有病毒的郵件。 |
| 即時通訊軟體使用安全 | 安裝與使用即時通訊軟體,須按業務實際需要,進行審慎評估,且須採取適當的安全控管措施。 | |
| 資料安全與備份 | 1. 機房設置溫度控制設備及消防設備,採門禁管制,限定僅特定人員才可進入,資料庫每日備份,並建置異地備援機制。 2. 任何資料存儲媒體進行報廢時,須徹底將其內資料銷毀,直至無法解讀。 3. 實體的機密資料,如紙張檔、重要合約等,宜妥善存放與保管。 |
|
| 異常事件處理常式及災害複原計劃 | 1. 針對常見資安事件與異常情況,擬定異常事件處理常式,以增加處理實效,並降低異常事件發生的傷害。 2. 按企業持續經營的原則,評估並理清重大業務衝擊威脅事件,據以制定災害復原計劃。 |
|
| 人員安全 | 人員安全管理 | 1. 對公司資訊單位人員的職責進行明確定義 2. 負責資訊安全相關工作或處理機密資訊的人員,需簽署保密協定。 3. 各種資訊安全工作,需有2人(或以上)瞭解,以應付緊急情況的需要。 |
| 安全認知訓練 | 1. 資訊安全事件應立即公告公司員工。 2. 定期提供員工適當的資通安全認知或教育訓練。 |
|
| 委外 | 委外管理 | 1. 資訊委外時,應與委外廠商簽訂契約,並將保密條款納入其中。 2. 電腦系統資訊委外業務完成後,應要求委外廠商提供詳細的系統檔及手冊。 3. 委外廠商人員如有派駐公司情況,派駐的委外人員電腦系統使用權限應予以適當控管。 |
投入資通安全管理之資源及運作情形
本公司新購入電腦安裝即時防毒軟體,並啟動自動與定期更新病毒碼功能,為確保各項資訊系統能持續提供穩定的服務,定期執行弱點掃描作業,找出潛在風險,進行弱點補強作業,採用趨勢Apex One服務,針對網路異常流量、入侵攻擊、惡意連線等,建立24小時即時防護,定期寄送防護報表,即時掌握防護效益;集團內持續由資訊部發布資訊安全意識文章,加強員工資訊安全知識,期能持續保持無資訊安全事故發生情形。 為持續保持本公司無資訊安全事故導致系統資料遺失發生情形,針對機房設置溫度控制設備及消防設備,機房採門禁管制,限制特定人員進入,SAP/BPM/PLM等重要資料庫每日備份,建置異地備援機制,備份資料保留30天。
本公司一向重視集團資訊安全相關作業,以維護公司資訊之機密性、完整性、可用性與適法性為目標,並致力於避免發生人為疏失、蓄意破壞與自然災害時,遭致資訊與資產遭致不當使用、洩漏、竄改、毀損、消失等情形;本公司資訊系統硬體基礎設施及各項防護設施,均已強化資訊安全事件之應變處理能力,保護公司與客戶之資產安全。資訊部每年均定期執行各項資訊安全相關之檢測及評估作業。
依照本公司「資訊安全管理程序」,本年度已於113/09/30、113/10/2、113/10/4進行社交工程演練。並於113/12/3、113/12/4、113/12/5、113/12/10對同仁進行相關資訊安全相關教育宣導。