一、風險管理政策

本公司已訂定「永續發展與風險管理政策」，並經董事會通過，作為本公司風險管理之最高指導原則；依據「永續發展與風險管理政策」本公司於成立「永續發展與風險管理委員會」負責監控公司風險，以強化風險管理。

二、風險管理範疇

風險管理範疇包括「策略風險」、「營運風險」、「財務風險」、「災害風險」等，並透過風險矩陣 （Risk MAP）評估風險事件發生的頻率及對公司營運衝撃的嚴重度，量化風險等級並進行排序，針對風險等級較高之項目，提出對應的風險改善計畫，並於「永續發展與風險管理委員會」做報告及追蹤。

三、風險管理組織架構

依照現行組織架構，將各風險管理單位整合成立「永續發展與風險管理委員會」，由總經理擔任主委，副總經理擔任副主委，母子公司各主要業務單位主管擔任委員，定期進行風險因子辨識與風險控管，以提升風險管理組織之指揮調度、自我評估及執行等執行效率。並每年定期向董事會報告前年度風險評估情形與風險管理運作情形。

四、風險管理運作情形

本公司永續發展與風險管理委員會直屬於董事會，由董事長直接進行管理及督導，於2023年3月29日及9月26日召開會議兩次，並於2023年8月10日向董事會報告整體運作情形：

1. 更新公司內外部風險雷達圖，包含地緣政治、通貨膨脹、升息、碳稅等。

2. 年度風險自評新增中風險以上項目合計 29 項，其中高風險項目合計 3 項與地緣政治(台海危機)有關，其餘為中風險項目，皆已提出改善計畫。

3. 針對地緣政治(台海危機)展開 BCP 規劃，包含物流、金(帳)流、人流及資訊流等由各部門提出因應對策。

4. 完成年度溫室氣體盤查作業，及因應法規提出盤查及外部查證計畫，每季向董事會報告執行情形。

公司於2022年啟動溫室氣體盤查專案，2022年邀請外部認證單位舉辦查證訓練課程，共計20人參加，培養溫室氣體盤查種子成員；2023年展開外部輔導與溫室氣體盤查自評，約25人參加，已投入約400仟元。

五、誠信經營

視陽光學總經理室為推動企業誠信經營專責單位，近兩年分別於2022年7月18日及2023年8月10日向董事會報告誠信經營宣導執行狀況，並由各單位落實內控制度，稽核單位及董事會負責監督公司營運，並透過組織設計，以達到職能分工及互相監督之機制。

落實執行誠信經營守則，年度相關執行情形如下：

1. 教育訓練

   本公司新進人員於報到時，由人資單位進行宣導及測驗；每年定期結合時事，對董事會成員及全體員工宣導誠信經營的重要性。

2. 個案分析

   不定期蒐集社會新聞中不誠信相關事件，由法務單位分析及追蹤個案發生之緣由及判決結果，協助公司預防及調整相關政策。

3. 檢舉制度

   本公司訂有檢舉案件處理辦法，明訂檢舉案件之處理及呈報方式，並於公司網站公布檢舉信箱及受理窗口之聯絡電話，另有檢舉人保護措施，以鼓勵相關單位檢舉不誠信之行為。

六、重大資訊處理暨防範內線交易作業程序落實該規範之具體情形

本公司訂有「重大資訊處理暨防範內線交易作業程序」，禁止公司內部人利用市場上未公開資訊買賣有價證券，本公司亦會不定期檢討此作業程序以符合現行法令與實務管理需要，此作業程序可於本公司網站中查詢。

本公司於2023年對全體員工安排「防制內線交易及其案例說明」1.5小時訓練課程，共計102人完成培訓，並將課程簡報與影音檔案置於內部員工系統，提供內部員工參考。

另，本公司每月初向董事、經理人、持股超過百分之十之股東詢問持股異動情形時，同步向董事、經理人、持股超過百分之十之股東做證券法規之持股轉讓及申報相關事項的書面宣導。

七、員工人身安全與工作環境的保護措施

八、對社區之風險或機會所採行之相應措施

公司總部位於桃園，設籍與居住桃園的同仁占比達76.7% (每4位員工有3位同仁於桃園)，家庭日以及尾牙旺年晚會等大型活動，也選擇總部所在地桃園作為活動舉辦場地，2023年活動投入經費約800仟元 (人均超過7仟元)，持續回饋社區，促進在地經濟發展。

馬來西亞廠持續建置太陽能發電系統，2023年總發電量達300萬度，減碳量達1,917噸CO2e，降低碳排放以及提升能源使用效率，減少對社區的影響。

從2020年購置馬來西亞廠之土地廠房取代租賃，而後亦持續擴產及建置太陽能發電系統，於在地長期深耕，創造逾1,200個工作機會，並關懷社區發展與環境保護。

九、資通安全管理

1. 資訊安全政策與目的

   本公司為確保資訊安全管理制度能持續有效運作，依據「資通安全管理辦法」的規範，建立安全可信賴之電腦化作業環境，確保電腦資料、系統、設備及網路安全，以符合相關法令規定，並保障公司權益及永續經營。

2. 資訊安全管理架構

   本公司為落實資訊安全政策，於112年增設資安長一名，並設有資安專員一名，負責資安相關事務推動；協同資訊安全管理小組，負責資訊安全管理制度規劃、建立、實施、維護、審查與持續改善，並於112年度及111年度分別召開1次管理審查會議，召集人由總經理擔任。小組相關作業的工作要點如下：

   ·管制技術：外部技術處理，資訊安全維運，資訊安全工具提供、監控及規劃，資訊安全規範遵循，負責資訊安全事件蒐集調查與處理。

   ·教育訓練：資訊安全文化形塑、新人資訊安全教育、內外資訊安全訓練與講座。

   ·稽核風管：資訊安全管理制度內部查核與資訊風險管控。

   ·文件管制：文件資訊安全管制、分類及保存管理。

   ·法律合規：資通安全管理、營業秘密管理、個人資料管理等法規遵循。

3. 資訊安全管理方案

   本公司隨時注意資安管理發展，導入相對應的資安措施，內部資通安全的管理措施如下，詳細作法訂於「資通安全管理辦法」。本公司近年未發生重大資安事件，將持續評估投保資安保險的必要性，雖目前尚未投保資安險，但內部依據「資通安全管理辦法」採取以下管理措施，未來會隨時注意最新資安管理發展，導入相對應的資安措施，逐步建構完整的資安體系，以確保公司健全的運作。

   ·員工安全管理及教育訓練：員工依其工作職掌，給予適當的系統與資料存取權限，並進行資訊安全教育及訓練。

   ·電腦主機安全管理：各項電腦主機及伺服器設備均指定專人管理與維護，並設密碼保護與定時更換，嚴禁使用非經授權及來路不明之軟硬體。

   ·資料安全管理：資料定時備份並妥善保存，並分機密等級管理資料檔案與權限，以防止遺失、毀壞、被偽造或竄改。

   ·系統開發維護安全管理：新發展的資訊系統，或是現有系統功能之強化，應考量資訊安全的需求與評估，並要求納入系統功能中。

   ·網路安全管理：網路設備須有專人管理，隨時監測網路的狀況，並設置防火牆對內外網路進行安全控管。

   ·網路存取之安全控制：使用者依其權限限制其連線作業能力，並應遵守相關安全規定；如有違反，依相關法規處理，並取消其網路資源存取權限。

   ·系統與網路入侵之處理：隨時檢討網路安全措施及修正防火牆的設定，以防禦網路的入侵與攻擊。

   ·設備安全管理：重要資訊設備應安置在適當的地點並予保護，以減少環境不安全引發的危險，及未經授權存取系統的機會。

   ·實體環境安全管理：實體環境應以事前劃定的各項資訊設施為基礎，設置必要的障礙（例如：使用身分識別卡之安全門），達成安全控管的目的。電腦機房應考量火災、水災、地震等災害的實體安全防護措施，並考量鄰近空間的可能安全威脅。

   ·業務永續經營運作計畫管理：為因應各種人為及天然災害造成業務運作受影響，須確實做好各項備份工作。各部門應依業務性質研擬緊急應變計畫，使各項業務得以永續運作。

   ·資通安全應變措施：於發生重大資通安全事件或其他災害涉及資通安全事件時，應立即依「資通安全管理辦法」所載之分級方式處理。

   ·備份作業：應落實定期備份作業之規定，以便發生災害或是儲存媒體失效時，可迅速回復正常作業。

4. 資訊安全系統建置

   本公司關注業界最新資安措施，適時評估與導入合宜的資安系統，逐步建構完整的資安體系，以確保公司健全運作。於112導入的資安措施如下：

   ·建置特權帳號監控機制，以防止濫用。。

   ·導入EndBlock MDR端點安全與防護服務，以提升對外部威脅的防禦能力。

   ·定期實施全公司資安教育訓練與測驗，以培養員工的資安觀念。

   ·實施一年兩次的社交工程演練，以提高員工的資安意識。

   ·主要系統於海外(VVM)的異地備援與執行災害演練，以確保作業持續營運。

   ·Microsoft 365導入多重要素驗證，公司電腦導入Windows Hello，以增加登入的安全性。

5. 資訊安全危害事件

   本公司112年沒有因重大資通安全事件導致營運上的損失。