和桐化學身為社會一份子,永續營運是對社會的基本責任。我們期望藉由建立良好之公司治理、誠信文化、風險控管機制及完善的內部管理規章,創造公司永續發展之經營環境。因此,我們針對環境、社會、治理三大面向,制定公司短期及中長期的永續策略,並透過持續發行永續報告書,回應利害關係人的期待。本公司於2014 年董事會通過「永續發展實務守則」(原名為企業社會責任實務守則),並於2017 年修訂,現由本公司之公司治理單位召集並推動永續發展之實踐,召集相關之部門主管及同仁組成工作小組推動永續發展,擔任整合及橫向串聯之跨部門溝通,每年至少一次向董事會討論、報告永續發展執行情形及相關事務。
公司董事會每季定期聽取工作小組的報告(包含ESG報告),工作小組及管理階層提擬公司策略,由董事會評判策略可行性,經常性檢視策略的進展,並且敦促工作小組進行調整。
本公司每季向董事會報告溫室氣體盤查及查證時程執行進度,最近一次於113 年12月18日報告。
供應商評鑑
和桐化學依循《廠商選擇與管理程序》,由採購部門透過產品品質、技術支援能力、交貨速度、價格、付款條件及服務等層面之指標評估合作供應商之適切性,通過評估者方始成為和桐化學供應鏈成員。2023 年度新供應商家數共計82 家,皆通過新供應商評核 。
在地與綠色採購
和桐化學協助中國地區子公司向海外採購棕櫚油供脂肪醇生產線使用,並體認棕櫚油生產過程對環境及生物多樣性之衝擊,故要求企業自身採購之棕櫚油100% 來自環境友善林地,於商業活動當下同時保護自然環境。2023 年達83.76% 之棕櫚油採購來自RSPO 認證之友善林地,未來將持續執行棕櫚油綠色採購自我要求並提高比例。
誠信經營實施情形
資通安全管理:
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
1.資安風險管理架構:
和桐化學設立資訊安全長,綜理資訊安全政策推動及資源調度相關事務,並在資訊部下設置資訊安全管理組以及資安專責主管、2 名資安專責人員,統籌制訂公司資訊安全政策、規劃暨執行資訊安全作業程序及資安政策推動與落實。落實有效的資訊安全管理體系為保護公司資訊資產安全,避免因內部或外部與蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險,以維持公司業務持續運作之資訊環境,並符合相關政府法規與內外部利害相關人之要求。本公司已制定資訊安全政策及相關文件規範,訂有資訊作業內控制度推動資安治理,配合稽核單位排定年度資安稽核計畫,每年至少進行一次評估查核,以確保公司業務相關資訊之機密性、完整性及可用性,並持續優化與改善資安管理政策。每年由資安長向公司董事會呈報當年度資安治理與執行成效。
2.資通安全政策:
為落實資安管理,公司訂有相關資訊作業內控制度與管理辦法,藉由全體同仁共同努力期望達成下列政策目標:
(1) 確保資訊資產之機密性、完整性及可用性。
(2) 確保依據部門職能規範資料存取。
(3) 確保資訊系統之持續運作。
(4) 防止未經授權修改或使用資料與系統。
(5) 定期執行資訊安全稽核作業,確保資訊安全落實執行。
3.資通安全具體管理方案:
為達資安政策與目標,建立全面性的資安防護,推行具體管理方案如下:
(1) 配置網路、端點、應用安全之多層資安防護,外網入口配置企業級防火牆與入侵防禦系統,伺服器與終端電腦均安裝端點防護軟體,電子郵件伺股器配置郵件防毒、及垃圾郵件過濾機制。
(2) 提升資安防禦能力,定期進行資安檢測作業,並依據檢測結果進行修補,以降低資安風險。
(3) 確保系統持續運作,落實系統週期性備份,每年實施一次災害復原演練。
(4) 定期實施資訊安全教育訓練及資安宣導,宣達資訊安全政策、相關規定以及資安防護觀念,以提升同仁資安意識。
(5) 建立資訊安全事件通報應變機制,以確保資安事件妥善回應、控制及處理。
(6) 定期執行資訊安全查核作業,以確保資訊安全管理制度落實執行。
(7) 依相關法令規定執行各項應辦事項。
(8) 為提升資安整體防護,公司加入TWCERT(台灣電腦網路危機處理暨協調中心)資安聯防組織,取得及分享最新網路威脅情資。
4.投入資通安全管理之資源:
112年度對應資安管理事項投入之資源與成效如下:
(1) 設立資安專責組織及3名資安專責人員。
(2) 一次資訊安全和機敏資料保護教育訓練。
(3) 一次社交工程演練、系統弱點掃描、帳號權限盤點。
(4) 一次災害復原演練。
(5) 六次資安防護公告,傳達防護重要訊息及注意事項。
(6) 下半年合計召開17次資安相關會議,及參與2場資安研討會。
(7) 年度資安查核未發現不符合事項。
(8) 年度無重大資安事件, 無違反客戶資料遺失之投訴案件。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
執行狀況:本公司目前無重大資安事件導致營業損害之情事;持續落實資訊安全管理政策目標,並定期實施復原計劃演練,保護公司重要系統與資料安全。
永續推動計畫
風險管理