Corporate Governance

公司治理

公司治理
董事會 功能性委員會 內部稽核 風險管理 誠信經營 稅務政策與管理 公司重要規章及具體作為

風險管理

  • 策略:營造重視風險管理之經營策略與企業文化,強化風險管理作業以提升營運透明度及保障員工、股東之權益。

執行風險管理制度與運作是確保正隆穩定營運的重要根基。為完善風險管理制度,正隆成立直屬董事會之「風險管理委員會」,所屬七大工作推行小組依循「風險管理政策與程序 」,透過辨識、分析、評量環境、社會、公司治理各方面風險因子形成之內、外部風險,再依據發生嚴重度與可能性計算出風險等級,省視現有防護措施是否能阻擋或降低風險,必要時另擬因應對策及確認得以有效實施,並追蹤風險管理改善之成效,確保公司健全經營,風險評估之邊界主要以合併公司為主,包含台灣、中國大陸、越南既有營業據點。2024年共召開兩次風險管理委員會會議並提報董事會。
 
重視氣候變遷風險管理,正隆已於2021年導入「氣候相關財務揭露」(TCFD)倡議,成為台灣第一家通過TCFD查核且獲得最高評級認證之紙業公司,展現面對氣候風險之適應力。重視自然正效益和關注營運對生物多樣性之衝擊,更於2023年簽署支持「自然相關財務揭露」(TNFD),成為TNFD先行者企業之一,將依循TNFD框架,從治理、策略、風險管理、指標與目標等四大面向,強化揭露自然相關風險與因應措施。

* 完整內容請參考本報告書 ch4.1 氣候變遷行動TCFD報告ch4.6 TNFD生物多樣性 




智慧財產管理

為完善智慧財產管理體系且持續精進,正隆設有專責單位協助智財管理事務之推動,保護研發成果與降低營運風險,同時鼓勵員工創新研發,作為各單位相關決策和執行準則。
正隆智慧財產管理風險因應與 2024 年執行成果如下:

資安管理

強化資安防護,確保營運安全

隨著數位轉型的加速,企業對資訊系統的依賴日益加深。然而,資安風險與惡意攻擊也日趨複雜且多樣化,不僅可能影響系統正常運作與生產排程,甚至可能導致機敏資訊外洩,進而引發法律責任與企業聲譽損害。

正隆深信資訊安全對營運穩定與信任維護的重要性,特別設立資安專責單位與資安長,並依循公司 「資通安全作業標準管理辦法」,推動各項資訊安全管理機制。同時,建置跨部門與廠區的防火牆機制,執行即時風險監控與漏洞管理,以防範攻擊並確保營運安全。

為持續強化資安能力,正隆每年投入大量資源,升級資安軟硬體設備,並舉辦相關教育訓練,打造完善的網路與電腦防護架構。同時,針對存取控制、 資料備份、系統開發及委外廠商管理等領域,制定具體管理方案,確保資訊資產的機密性、可用性、完整性與持續性,降低資安風險對營運的影響。

2024 年,正隆未發生重大資訊安全事件,展現公司在資安防護上的高度投入與成效。
 
正隆2024年資訊安全執行重點:

強化資安管理
  • 1. 完善資安管理制度度,2023 年領先業界導入 ISO 27001 資訊安全管理系統 (ISMS),並於2024年6月完成 ISO 27001:2022 版本的轉版認證。未來,正隆將持續投入資源,遵循 ISO 27001 標準,並結合公司需求推動技術創新與管理升級,以打造更安全、可靠的資訊環境。
  • 2. 依據 PDCA 模型進行數位資產盤點與風險評估,檢核資通安全目標及相關措施運作,並進行改善。總經理每季主持 ISO 推行委員會,檢討資訊安全執行情況。


提升資安防護能力
  • 1. 強化網路連線、機房、防火牆、電子郵件 及伺服器的防護措施,定期檢視資通安全政策及作業程序,並召開資安專案會議進行審查與修訂。
  • 2. 提升生產系統 (OT) 防護,採用 USB 掃毒工具檢測惡意程式感染情況。重要基礎設施(如機房)設置門禁管制,記錄人員進出,確保實體設備安全。

建構資安聯防
  • 1. 建置資安監控中心平台,整合 IT 與 OT 的重要端點資 安設備資料,集中管理系統日誌,結合 AI 技術快速偵測風險、執行自動防護及復原。並透過MDR (Managed Detection and Response) 外部專業協助,實現全面性、全天候的監控分析,有效防範病毒及惡意攻擊。
  • 2. 積極參與外部資安聯盟的交流活動與倡議,掌握最新資安趨勢。
 
形塑企業資安文化
  • 1. 在內部 EIP 網頁設立資安專區,並於 News 行動網增設資安新知,定期分享最新資安報導與公告。2024 年共發布 60 多則資安資訊,確保員工掌握最新威脅與防護措施。此外,亦透過線上課程,期強化資通安全與 AI 安全教育,涵蓋郵件詐騙防護、個資保護及機敏資料處理等關鍵議題, 以及行政院公告之《使用生成式 AI 參考指引》,提升員工資安意識與警覺性,有效降低惡意駭客攻擊風險,確保企業資訊安全
  • 2. 2024 年舉行兩次社交工程演練,結合 AI 技術設計模擬真實情境的釣魚郵件(如信用卡盜刷、百貨優惠券、政府公文通知等),測試員工對釣魚郵件的警覺性。經資訊安全宣導與演練,第一次與第二次開信率占總公司的 8% 及 6%,低於標準值,顯示員工資安意識有所提升。
  • 3. 與經濟部合作開辦 iPAS 供應鏈專班課程,課程內容涵蓋「智慧製造」與 「工控資安」進行培訓,藉此提升供應鏈資安防護能力。課程聚焦於工控資安概念及 IEC62443 工控資安標準,提升產線運作的安全意識,並在與設備供應商合作時,確保資安要求的落實。此外,透過分組討論與跨部門、跨廠參與,深化內外部合作默契。專班不僅提供實用知識,還促進供應鏈夥伴與內部團隊的互動交流,為未來合作奠定基礎。