治理运作
公司治理评鉴结果
| 公司治理评鉴 | 参与评鉴上市柜公司 | 依市值(未达50 亿元类) | ||
|---|---|---|---|---|
| 家数 | 東碩百分比 | 家数 | 東碩百分比 | |
| 113年(第十一届) | 778 | 51% - 65% | 802 | 41% - 60% |
| 112年(第十届) | 754 | 51% - 65% | 816 | 41% - 60% |
| 111年(第九届) | 734 | 51% - 65% | 未公布 | |
| 110年(第八届) | 726 | 51% - 65% | 未公布 | |
| 109年(第七届) | 712 | 36% - 50% | 未公布 | |
| 108年(第六届) | 699 | 21% - 35% | 未公布 | |
| 107年(第五届) | 686 | 21% - 35% | 未公布 | |
| 106年(第四届) | 675 | 21% - 35% | 未公布 | |
| 105年(第三届) | 653 | 21% - 35% | 未公布 | |
诚信经营
本公司之董事、经理人、受雇人、受任人及实质控制者应尽善良管理人之注意义务,督促公司防止不诚信行为,并随时检讨其实施成效及持续改进,确保诚信经营政策之落实。
本公司为健全诚信经营之管理,指定董事长室为专责单位,隶属于董事会,负责诚信经营政策与防范方案之制定及监督执行。
主要职掌下列事项:
- 协助将诚信与道德价值融入公司经营策略,并配合法令制度订定确保诚信经营之相关防弊措施。
- 订定防范不诚信行为方案,并于各方案内订定工作业务相关标准作业程序及行为指南。
- 规划内部组织、编制与职掌,对营业范围内较高不诚信行为风险之营业活动,安置相互监督制衡机制。
- 诚信政策宣导训练之推动及协调。
- 规划检举制度,确保执行之有效性。
- 协助董事会及管理阶层查核及评估落实诚信经营所建立之防范措施是否有效运作,并定期就相关业务流程进行评估遵循情形,作成报告。
建立举报机制
本公司于2013年订定「诚信经营守则」并建立检举制度,并于公司官网提供检举受理窗口、受理程序及回覆方式等资讯。
而为确保公司永续发展,鼓励检举任何非法行为,于企业社会责任行为准则中明确规范,将保障身份保密与匿名申诉,确保供应商与员工检举人的身份机密性。
诚信经营执行情形
本公司每年至少举办一次内部宣导,向全体董事、经理人、受雇人宣达诚信之重要性,以授课、电子邮件及纸本传签方式进行教育训练,以落实诚信经营政策,并积极防范不诚信行为;截至目前公司内未发生不诚信之行为,实际运作情形与本公司守则无差异。
本公司定期(至少一年一次)向董事会报告,最近一次报告日期为114 年11 月04 日。
2025年董事会报告执行情形
本公司114年度进行与诚信经营议题相关之教育训练,计1,654人次。
诚信经营守则宣导
风险管理
東碩为强化公司治理、降低营运可能面臨之各种风险,以确保长期稳健经营与永续发展,我们建制「企业风险管理政策与程序」,并依循重大性原则,针对营运相关之环境、社会责任及公司治理议题进行风险与机会的识别、评估、因应/监控与报告/揭露。
東碩依据可能面对的各种风险订定相关的风险管理策略及主责单位,包含风险管理直接单位(营运单位/第一层机制)、风险管理及控制单位(第二层机制)、稽核室(第三层机制),从直接单位到管控单位做好全面性的风险管理。而每年度之风险管理运作情形,也由风险管理委员每年至少一次,向永续发展委员会及董事会报告。
東碩风险治理架构
资安治理
资通安全管理策略与架构
资通安全风险管理架构:
東碩于112年11月董事会通过由资讯长兼任资安长,另配置资讯安全主管一人及资讯专责人员一人,负责公司电脑网路及应用系统开发与维护,电脑硬体、周边设备及资讯档案维护与管理,以及资讯系统安全之规划与执行。每年至少一次向董事会报告投入资通安全管理之资源及运作情形。
资通安全政策:
为确保公司网路和资讯使用环境安全及稳定,東碩依主管机关发布之「上市上柜公司资安管控指引」经董事会通过订定本公司「资通安全风险管理作业程序」,并由资讯部负责推行及落实本规定之资通安全作业,其内容包括核心业务及其重要性、资通系统盘点及风险评估、资通系统发展及维护安全、资通安全防护及控制措施、资通系统或资通服务委外办理之管理措施、资通安全事件通报应变及情资评估因应、资通安全之持续精进及绩效管理机制等。
资安具体管理方案与采行措施
| 类别 | 采行措施/作法 | |
|---|---|---|
| 网路安全 | 网路资源管理 |
1. 关闭网路设备不使用的服务与功能,以降低风险。 2. 建立网路监控系统,及时了解网路运作情况,及早发现网路失效的情形或潜在风险。 |
| 网路安全管理 |
1. 设置防火墙(Firewall)于公司的内部网路与外部网路接界处,防止外部未经授权进入公司内部网路,并且定期检视防火墙规则,以确认防火墙规则已适当设定。 2. 不定期委由外界专家或自行评估网路系统安全并进行安全修补,提高安全防御能力。 3. 针对开发外界连线资讯系统,依照资料及系统的重要性,采取资讯加密、身分辨别、电子签章等不同安全等级的技术或措施,降低资讯及系统受到入侵、破坏、篡改、删除及未经授权存取的安全风险。 | |
| 无线网路安全 |
1. 无线网路架设与使用须经过审慎的安全评估。 2. 无线网路卡与无线基地台间使用加密通讯协定。 | |
| 电脑安全 | 电脑系统与实体设备保护 |
1. 各式电脑的系统应及时进行安全修补。 2. 各式电脑软体及版权,集中由资讯单位管理。 3. 任何电脑均应设定萤幕保护装置程式并设定密码保护,防止他人未经授权使用电脑。 4. 注意使用任何电脑设备时,其电源使用不可超过电源负载量。 5. 厂商维护电脑主机设备时应有公司资讯单位人员陪同。 |
| 防毒软体 |
公司所有电脑系统均安装防毒软体,实施并自动更新病毒库,并定期执行病毒扫描。 1. 每位电脑系统使用者,应赋予独立的通行帐号,且帐号应依业务需求赋予最低能满足作业的许可权。 2. 职员离职或职位调动时,需立即取消或调整其帐号许可权。 3. 定期审查帐号及使用权限情况,确保符合现状。 | |
| 存取安全 |
1. 每位电脑系统使用者,应赋予独立的通行帐号,且帐号应依业务需求赋予最低能满足作业的许可权。 2. 职员离职或职位调动时,需立即取消或调整其帐号许可权。 3. 定期审查帐号及使用权限情况,确保符合现状。 | |
| 密码安全管理 |
1. 所有通行帐号的登录应设立独立密码,并强制使用者于第一次启用帐号后更新密码、制定并强制密码设定需达一定强度设定原则、设定强制使用者定期更新密码的要求、设定使用者密码输入错误达3次以上,系统自动将帐号暂时锁定。 2. 输入密码时,电脑萤幕不得明白显示所输入之密码。 3. 保存密码的档案应予以加密。 | |
| 应用系统管理 | 电子邮件使用安全 |
1. 明确规定员工禁止利用公司电子邮件从事工作业务以外的活动,并宣导员工不开启来路不明的电子邮件。 2. 以业务及个人工作需要,对员工电子邮件内容及大小进行规范和限制。 3. 开启邮件过滤及防毒机制,以过滤垃圾及可能含有病毒的邮件。 |
| 即时通讯软体使用安全 | 安装与使用即时通讯软体,须按业务实际需要,进行审慎评估,且须采取适当的安全控管措施。 | |
| 资料安全与备份 |
1. 机房设置温度控制设备及消防设备,采门禁管制,限定仅特定人员才可进入,资料库每日备份,并建置异地备援机制。 2. 任何资料存储媒体进行报废时,须彻底将其内资料销毁,直至无法解读。 3. 实体的机密资料,如纸张档、重要合约等,宜妥善存放与保管。 | |
| 异常事件处理常式及灾害复原计划 |
1. 针对常见资安事件与异常情况,拟定异常事件处理常式,以增加处理实效,并降低异常事件发生的伤害。 2. 按企业持续经营的原则,评估并理清重大业务冲击威胁事件,据以制定灾害复原计划。 | |
| 人员安全 | 人员安全管理 |
1. 对公司资讯单位人员的职责进行明确定义 2. 负责资讯安全相关工作或处理机密资讯的人员,需签署保密协定。 3. 各种资讯安全工作,需有2人(或以上)了解,以应付紧急情况的需要。 |
| 安全认知训练 |
1. 资讯安全事件应立即公告公司员工。 2. 定期提供员工适当的资通安全认知或教育训练。 | |
| 委外 | 委外管理 |
1. 资讯委外时,应与委外厂商签订契约,并将保密条款纳入其中。 2. 电脑系统资讯委外业务完成后,应要求委外厂商提供详细的系统档及手册。 3. 委外厂商人员如有派驻公司情况,派驻的委外人员电脑系统使用权限应予以适当控管。 |
投入资通安全管理之资源及运作情形
本公司新购入电脑安装即时防毒软体,并启动自动与定期更新病毒码功能,为确保各项资讯系统能持续提供稳定的服务,定期执行弱点扫描作业,找出潜在风险,进行弱点补强作业,采用趋势Apex One服务,针对网路异常流量、入侵攻击、恶意连线等,建立24小时即时防护,定期寄送防护报表,即时掌握防护效益;集团内持续由资讯部发布资讯安全意识文章,加强员工资讯安全知识,期能持续保持无资讯安全事故发生情形。 为持续保持本公司无资讯安全事故导致系统资料遗失发生情形,针对机房设置温度控制设备及消防设备,机房采门禁管制,限制特定人员进入,SAP/BPM/PLM等重要资料库每日备份,建置异地备援机制,备份资料保留30天。
本公司一向重视集团资讯安全相关作业,以维护公司资讯之机密性、完整性、可用性与适法性为目标,并致力于避免发生人为疏失、蓄意破坏与自然灾害时,遭致资讯与资产遭致不当使用、泄漏、窜改、毁损、消失等情形;本公司资讯系统硬体基础设施及各项防护设施,均已强化资讯安全事件之应变处理能力,保护公司与客户之资产安全。资讯部每年均定期执行各项资讯安全相关之检测及评估作业。
依照本公司「资讯安全管理程序」,本年度已于114/09/30、114/10/2、114/10/4进行社交工程演练。并于114/12/3、114/12/4、114/12/5、114/12/10对同仁进行相关资讯安全相关教育宣导。