永續風險管理

永續風險管理
風險管理

東聯化學高度重視風險管理,不僅落實日常資料保全與駭客攻擊防禦,也將地緣政治風險納入整體考量,透過雲端化資訊系統與機房,有效降低駭客攻擊和地緣政治事件對企業營運的影響。

針對關鍵營運議題與風險,我們進行系統化評估與分析,並導入相關管理系統,搭配完善的風險策略規劃和具體行動,結合穩健的營運管理,確保企業在經營效益與風險管控間取得平衡。

永續風險管理


 
氣候相關財務揭露(TCFD)

為提升氣候資訊揭露的透明度,並協助利害關係人全面了解東聯在氣候變遷議題上的承諾與具體作為,東聯化學依循《氣候相關財務揭露建議書》(Task Force on Climate-related Financial Disclosures, TCFD)指引架構,系統性盤點、評估並揭露與氣候變遷相關的風險與機會。

東聯化學透過治理、策略、風險管理,以及指標與目標這四大架構進行全面分析,評估氣候變遷對公司營運及財務可能產生的影響。依據評估結果,進一步擬定具體的因應策略與行動方案,降低氣候風險對企業永續經營的衝擊,並掌握轉型機會。

更多細節與分析內容,請參閱東聯化學2024年TCFD報告

氣候相關財務揭露(TCFD)對照表
 
永續風險管理
永續風險管理
 

東聯重大氣候風險矩陣

 
實體風險
永續風險管理
 
轉型風險
永續風險管理
 
氣候變遷相關機會
永續風險管理
 
誠信經營

為落實誠信經營、杜絕不當商業行為,東聯訂有《誠信經營守則》及《道德行為準則》,並定期進行實施教育宣傳,具體管控董事、經理人、員工之商業行為。2024年共339人次參與、總訓練時數181.5小時。

我們要求董事與高階管理階層簽署遵循誠信經營政策聲明,明確規範董事、經理人及員工在執行商業行為過程中,不得直接或間接提供、承諾、要求或收受任何不正當利益,亦不得做出違反誠信、不法或違背受託義務等不誠信行為。

為使所有利害關係人充分了解並遵守政策,上述政策及規範皆公開於公司網站中,並積極透過多方管道溝通與宣導。此外,東聯設有多元舉報機制,供員工與利害關係人檢舉違反誠信規定之行為,並全面採取保密措施,確保舉報人之身分與權益,對於任何違規情事皆依法嚴正處理,絕不寬貸。
 


永續風險管理

完善的內部稽核制度

東聯內部控制制度由經理人設計,董事會通過,並由董事會、經理人及其他員工執行管理過程,其目的在於促進公司之健全經營,以合理確保內部控制目標之達成:


永續風險管理

為確保內控制度有效運行,東聯設有獨立,且隸屬於董事會之稽核部門,除定期向審計委員會報告稽核業務外,並列席董事會報告。
東聯重視ESG議題與內部控制、內部稽核相關議題,2024年度的稽核計畫中,查核公司治理、財務作業、環境及勞工安全、資訊及研發等相關作業項目,確保營運與資訊揭露能符合利害關係人之期待。
配合證交所要求,東聯於2024年11月訂定永續報告書編製及確信程序,以管理永續資訊,並已安排於2025年起,將永續資訊之查核,正式納入內部稽核項目中,以提升東聯永續資訊的可靠度與透明性。


永續風險管理

資訊安全風險管理

保障東聯資訊資產免受重大風險衝擊,並確保營運持續性與資訊安全,我們推動雲端機房建置專案,將公司資訊機房及資料設置在服務指標高達99.99999999的亞馬遜(AWS)雲端機房。此外,東聯的資訊安全組織,亦定期評估資安風險,並採取多種措施,堅守資安的每一道防線。

為保障東聯資訊資產免於不可承受的風險所衝擊,我們推動雲端機房專案,使資訊機房及資料設置在服務指標高達 99.99999999 的亞馬遜(AWS) 雲端機房,以確保公司營運的永續運作和客戶資訊的安全性。(AWS ISO 27001標章)

1.資訊安全組織

針對「資訊安全管理組織」,東聯規劃設置資安主管,作為資安管理代表,進行資訊安全督導,另設置資安人員一名作為資安政策執行。 東聯資訊安全組織自2025年起,每年定期進行「資安風險評估」,資安人員依據公司資訊安全執行弱點掃描,以取得資安風險評估報告,另針對當年度資安架構調整於會議中報告,並於會議中針對報告進行說明及討論,以及後續加強項目執行。

永續風險管理
 

2.管理方針說明

東聯採取風險轉移及緊急應變策略,訂有風險評估、風險轉移、緊急應變及稽核維護等管理機制,確保資訊系統之有效運作:

永續風險管理
 

3.行動方案

東聯依據資訊系統風險等級,建置異地備援與資料備份機制,確保服務不中斷。2024年已完成機房遷移至亞馬遜雲端(AWS),利用其高達99.9%的SLA安全機制,提升機房安全性,有效降低天災、人為疏失或駭客攻擊所致之中斷風險,確保達成預期系統復原目標。

另訂有資訊管理辦法,建立資訊系統安全環境。惟即使採行多項資安防護措施,仍無法完全排除第三方攻擊風險,故本公司持續強化資安教育與意識宣導,並因應新型駭客攻擊手法,逐步導入零信任架構。2024年全面推動二次驗證(MFA),提升帳號安全性;同年導入特權帳號管理系統,管控資訊人員及外部供應商高權限帳號,防範資安威脅,持續精進整體資訊安全防護能力。

永續風險管理

 
員工個人電腦管控
    

針對員工攜帶私人電腦設備入廠工作,透過下列機制進行控管,包括:

  • 控管非法資產設備接入至公司內部網路(802.1X)
  • 可針對不同的管理範圍需求,制訂不同的政策規則進行管理
  • 可依據資產使用人身份,將其端點設備分派至特定VLAN
  • 可同時支援不同廠牌的Switch 進行管理
  • 提供單一管理介面,以簡化資訊人員工作量
  • 快速識別並掌握企業內部所有連網設備及狀態
  • 建立內部區域網路的稽核記錄
 
特權帳號管控

為防止合法掩飾非法的資料存取, 東聯推動特權帳號連線管理系統(Privilege Access Management,PAM),防禦憑證竊盜及特權濫用所帶來的威脅。 IT 進入各系統管理帳號,密碼是隨機及時效性,且須被審核才會被派發,結束後密碼即失效,以解 決或降低密碼遺失或被駭入的狀況。

 
未來規劃:雲端伺服器

東聯於2024年第一季推動機房雲端化專案,以邁向 Green IT 達成 ESG 淨零減碳之目標,機房 雲端化專案規劃如下:

  1. 北高機房僅剩網路資通設備。
  2. 原機房伺服器將全部移轉至雲端。
註:自建機房(綠)電費約165萬元/ 年,上雲後預估(綠)電費65萬元/ 年。

 

永續風險管理
效益:

• 資訊機房空間可再利用。
• 達成 ESG 淨零減碳目標。
• 資源依需求可於雲端快速調整。
» 使用雲端服務不用再採購實體設備,可依需求快速擴充或移除,達到節省成本與快速導入的目的。
» 計價方式為用多少付多少,使用較具彈性。

 
 
上雲後資安強化規劃項目
永續風險管理       
 
利害關係人聯絡人
環保業務聯絡人