誠信經營
本公司指定總經理室為負責誠信經營的專責單位,辦理本公司誠信經營之推動,包含修訂、執行、解釋、諮詢服務暨通報內容登錄建檔等相關作業及監督執行,並至少一年一次向董事會報告。
114年度已於114年10月23日董事會報告誠信經營執行情形。
一、主要職掌下列事項
協助將誠信與道德價值融入公司經營策略,並配合法令制度訂定確保誠信經營之相關防弊措施。
定期分析及評估營業範圍內不誠信行為風險,並據以訂定防範不誠信行為方案,及於各方案內訂定工作業務相關標準作業程序及行為指南。
規劃內部組織、編制與職掌,對營業範圍內較高不誠信行為風險之營業活動,安置相互監督制衡機制。
誠信政策宣導訓練之推動及協調。
規劃檢舉制度,確保執行之有效性。
協助董事會及管理階層查核及評估落實誠信經營所建立之防範措施是否有效運作,並定期就相關業務流程進行評估遵循情形,作成報告。
製作及妥善保存誠信經營政策及其遵循聲明、落實承諾暨執行情形等相關文件化資訊。
本公司訂有「內部重大資訊處理作業程序」、「道德行為準則」、「誠信經營守則」、「誠信經營作業程序及行為」及「檢舉制度管理辦法」,並已經董事會通過,供公司全體同仁遵循。
二、誠信宣導
本公司每年至少舉辦一次內部宣導,向全體董事、經理人、受僱人宣達誠信之重要性,以授課、電子郵件或紙本傳簽方式進行教育訓練,以落實誠信經營政策,並積極防範不誠信行為;截至目前公司內未發生不誠信之行為,實際運作情形與本公司守則無差異。
三、檢舉制度
本公司鼓勵內部及外部人員檢舉不誠信行為或不當行為,依其檢舉情事之情節輕重,給予檢舉人適當獎勵,內部人員如有虛報或惡意指控之情事,應予以紀律處分,情節重大者應予以革職。
本公司已於公司網站公告內部獨立檢舉信箱,供本公司內部及外部人員使用。
四、承諾
本公司及關係企業之董事、經理人、受僱人及受任人,皆承諾恪守員工廉潔及忠實義務,並聲明遵守東浦集團所制定工作規則及相關公司規定、政策暨法令規定,本於公平、誠實、守信、透明原則,執行職務,以落實東浦集團之員工廉潔、誠信、忠實政策,並積極防範任何違反受託義務、違反誠信及任何不法之行為。
風險管理
114年度執行情形:
本公司風險管理小組已於114/10/23董事會,報告風險辨識、監控及管理對策。
風險管理範圍包括公司營運相關之公司治理、環境保護(含氣候及自然資源)、社會共融及創新價值等四大面向,主要包括:策略風險、營運風險、財務風險、資訊風險、法遵風險、誠信風險、其他新興風險(如:氣候變遷、生物多樣性、森林、水或傳染病相關風險)等,並遵循相關法令、辦法之規定,據以辨識、分析、評量、因應與監控及報告與揭露其重大風險影響。
一、風險管理組織架構與職責
二、風險管理政策
本公司秉持永續經營理念,透過建立、實施與維持積極主動的風險管理機制,持續掌握內外部議題與環境變化、落實營運衝擊分析並完備有效及彈性因應相關挑戰的能力,定期自我檢視與持續改進公司韌性,以實現營運持續不中斷的承諾,保障客戶與利害關係人的最佳權益。
三、 風險管理程序
風險辨識:各權責部門人員應於職權範圍內識別公司所面臨的潛在風險。
風險衡量:各權責部門辨識所可能面臨之潛在風險後,應訂定適當之衡量方法,作為風險管理的依據。
風險監控:各權責部門應監控所屬業務的潛在風險,當評估風險程度可能造成損害時,應提出因應對策並將風險及因應對策於經營管理會議中呈報。
風險回應:各權責部門於評估及彙總風險後,對於所面臨之潛在風險宜採取適當之回應措施,如風險辨識釐清、評估報告及應變控制方案執行等。
風險報告與揭露:公司定期向董事會報告風險狀況以供管理參考,落實風險管理程序及檢核執行.
資訊安全
一、資訊安全風險管理架構
本公司資訊安全之權責單位為管理部資訊單位,設置資安專責主管一名,專責的資安人員一名,負責訂定內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並推展資訊安全意識,定期向總經理、董事會報告公司資安治理概況。
本公司稽核室為資訊安全監理之查核單位,若查核發現缺失,旋即要求受查單位提出相關改善計畫及追蹤改善成效,並定期呈報董事會,以降低內部資安風險。組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
二、資訊安全政策
建立安全及可信賴之電腦化作業環境,確保本公司資料、系統、設備及網路安全,以保障公司持運營運、客戶權益及各單位資訊系統之永續運作。
資訊安全管理之範圍:
人員管理及資訊安全教育訓練。
電腦系統安全管理。
網路安全管理。
系統存取管制。
系統發展及維護安全管理。
資訊資產安全管理。
實體及環境安全管理。
資訊系統永續運作計畫管理。
資訊安全稽核。
三、 資訊安全管理措施
近年資安風險頻傳,本公司以嚴謹負責的態度建立一套全方位之防護系統,其範圍包含最低層之員工電腦至最高層之對外網路端點。但由於第三方網路攻擊方式不斷的變化與推陳出新,防護系統並無法保證能永遠不遭受外來之網路攻擊與侵入風險,此風險或能導致公司機密外洩,或遭病毒勒索軟體之騷擾,或干擾公司生產營運造成營業損失。
針對上述風險,本公司採取以下必要之管理措施:
制訂相關資訊安全措施辦法,並全面性追蹤檢討以補既有防護系統之不足。
定期檢視現有資安設備及軟體保持最佳防護狀態。
與專業第三方服務廠商簽訂維護運作合約,定期維護設備及更新防護系統資料。
確實執行系統週期性資料備份作業並兼採異地存放措施,確保資料復原無虞。
定期實施災難復原計畫,透過演練以期縮短風險時間,降低營運損失。
辦理資訊安全教育訓練及宣導,建立員工資訊安全認知。
四、資通安全管理之資源投入
網路硬體設備如防火牆、郵件防毒、垃圾郵件過濾。
軟體系統如端點防護系統、備份管理軟體等。
投入人力:如每日各系統狀態檢查、定期備份及備份媒體異地存放之執行、每月資安宣導、每年系統災難復原模擬演練、每年對資訊循環之內部稽核、會計師每年例行性稽核及專案審查等。
資安人力:資訊主管一名及資訊工程師一名,負責資安架構設計、資安維運與監控、資安事件回應與調查、資安政策檢討與修訂。
個人資料保護政策
為促進個人資料之合法利用並保障人格權益,本公司依據《個人資料保護法》及相關法令規定,制定本個人資料保護政策(以下簡稱「本政
策」)。本公司承諾於蒐集、處理及利用個人資料時,均遵循誠實信用及公平合理之原則,並以特定目的之必要範圍為限,確保個人資料之安
全與當事人權益。
一、個人資料之蒐集、處理與利用
本公司僅於執行業務或職務所必要範圍內,依法蒐集、處理及利用個人資料,並於蒐集時,依法律規定明確告知當事人其個人資料之蒐集
目的、利用期間、地區、對象及方式等相關事項。
二、個人資料之安全維護
本公司對於所蒐集、處理或利用之各類個人資料,將建立並維持完整之管理紀錄或清冊,並採取適當之技術性及組織性安全管理措施,以
防止個人資料遭竊取、竄改、損毀、滅失或洩漏,確保個人資料之安全性與正確性。
三、當事人權利之尊重
本公司尊重並保障當事人就其個人資料依法享有之各項權利。若涉及個人資料之國際傳輸,本公司將於符合法令規定,並確保接收方具備
充分個人資料保護措施之情況下為之。
四、內部管理制度
為落實本政策,本公司已制定並持續推動個人資料管理制度及相關作業規範,明確規範內外部人員之職責與權限,並視需要設置專責管理
人員或組織,以確保個人資料保護措施之有效執行。
五、委外處理之管理
如本公司委託第三方蒐集、處理或利用個人資料,將依法對受委託者進行適當之監督管理,並確認其採取之個人資料管理規範,符合相關
法令及契約約定之要求。
六、例外情形
以上各款若有例外處理,本公司亦僅在「個人資料保護法」及「個人資料保護法施行細則」所允許之情形為之。
七、當事人權利行使
依各使用國家或地區適用之個人資料保護相關法令規定,當事人得就其個人資料向本公司行使下列權利:
查詢或請求閱覽其個人資料、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用、請求刪除其個人資料。
於法令適用之情形下,行使資料可攜權撤回其對個人資料蒐集、處理或利用之同意。
前述權利之行使,應以不妨礙本公司依法令規定、契約履行、法定保存義務或正當營業活動之進行為限。
八、客戶與廠商個人資料之保護
本公司於與客戶、供應商、承包商及其他合作廠商(以下合稱「客戶及廠商」)進行業務往來過程中,可能依法蒐集、處理及利用其負責
人、聯絡人或相關人員之個人資料。本公司對客戶及廠商之個人資料,將依下列原則妥善保護與管理:
九、蒐集目的與利用範圍
本公司僅基於契約履行、業務聯繫、交易管理、帳務處理、法令遵循或其他正當業務需求之特定目的,於必要範圍內蒐集、處理及利用客
戶及廠商之個人資料,並確保其利用方式與蒐集目的具有正當、合理之關聯。
十、資料類型
所蒐集之個人資料以業務往來所必要者為限,可能包括姓名、職稱、聯絡方式(如電話、電子郵件、地址)及其他依法得蒐集之資訊。
十一、安全管理措施
本公司對客戶及廠商之個人資料,將比照本政策所定之安全管理措施加以保護,並採取合理之技術性及組織性控管,以防止未經授權之
存取、洩漏、竄改或毀損。
十二、第三方提供與揭露
除依法令規定、司法或主管機關之合法要求,或為履行契約義務所必要外,本公司不會任意向第三方提供或揭露客戶及廠商之個人資料。
必要提供時,亦將要求第三方遵循個人資料保護相關法令及保密義務。
十三、權利行使
客戶及廠商就其個人資料,得依法向本公司行使查詢、閱覽、補充、更正、停止蒐集、處理或利用,以及刪除等權利,其行使方式依本政
策第七條規定辦理。
教育訓練與宣導
為確保本政策及個人資料保護相關法令之落實,本公司定期對員工實施個人資料保護教育訓練與宣導,以提升人員對個人資料保護之認知
與遵循能力。
截至目前為止,本公司已完成相關教育訓練之人數共計 114 人,訓練總時數達 342 小時,並持續依實際需要規劃與執行相關訓練,以確保
個人資料保護措施之有效性。
各項風險管理規劃及運作情形
