中磊秉持著「環境、社會、治理」的核心價值,多面相推動永續發展,持續推動永續發展,並以具體行動落實承諾,積極接軌國際永續標準,呼應聯合國永續發展目標 (SDGs)。公司自 2017 年起編製永續報告書,至 2024 年已連續九年發布,並持續通過第三方國際確信,展現公司在永續治理上的努力與成果。
2024 年,中磊榮獲 EcoVadis 金牌獎,在 臺灣證券交易所第 11 屆公司治理評鑑中排名前 6%–20%;美國子公司獲得 Great Place To Work® 認證,蘇州子公司則入選 2024–2025 富比士中國永續創新發展企業。此外,竹南製造中心取得 RBA VAP 白金級認證,再次肯定公司在治理、職場與供應鏈管理的永續成就。
為完整回應外部利害關係人,並使內部相關部門於環境、社會與治理面各永續事務有一致的發展路徑,中磊之永續發展策略,依聯合國永續發展目標 (Sustainable Development Goals, SDGs) 之核心精神、中磊永續風險與機會,以及每年重大主題鑑別結果適時調整,彙整永續發展各項構面,做為驅動公司永續發展的指導綱領,以推動永續行動方案,擬定短、中、長期目標。
在勞工權益、環境保護、道德商業行為方面,中磊亦積極遵循責任商業聯盟行為準則(Code of Conduct - Responsible Business Alliance, RBA),針對勞工(Labor)、健康與安 全(Health & Safety)、環境(Environmental)、倫理規範(Ethics)、管理系統(Management System)等面向進行自我評估,並積極取得認證。
中國、台灣及菲律賓製造中心皆持續配合責任商業聯盟(RBA)要求,定期接受第三方稽核與評估,以確保勞工、人權、環境與倫理等管理制度之落實。稽核結果詳見各年度永續報告書。
中磊積極回應全球氣候變遷挑戰,持續與國際倡議與揭露框架接軌,強化氣候治理與減碳行動。公司長期參與 CDP(碳揭露專案),系統性揭露溫室氣體排放與氣候風險資訊;並依循 TCFD 氣候相關財務揭露建議,逐步完善氣候風險與機會之治理、策略、風險管理與指標目標。同時,中磊承諾遵循 SBTi 科學基礎減量目標,以 1.5°C 升溫情境為基礎,推動具體減碳路徑與低碳轉型行動,展現對氣候行動與永續發展的長期承諾。
中磊秉持「尊重人權」、環境友善」、誠信經營」、「合作共贏」的採購政策,除要求供應商的品質、成本、交期、環境安全衛生、人權的表現外,亦明確表達對負責任供應鏈的重視。中磊逐步建立務實的供應鏈永續管理流程,要求供應商共同遵循責任商業聯盟 (Responsible Business Alliance, RBA) 關於人權、環境與商業道德等企業社會責任標準,以及 RoHS 、 REACH 等綠色產品相關規範,並向供應鏈夥伴布達減碳節能、責任礦產、在地及綠色採購等重要政策,同時藉由分享互惠、檢核輔導等交流,攜手與供應鏈夥伴永續發展,實現合作共贏局面。
為控管供應鏈中商業與永續相關風險,中磊訂有《供應商管理辦法》,明確化內部新供應商和既有供應商管理機制,並提供供應商支持資源。我們依據 RBA 規範供應商基本行為準則,要求所屬供應商必須遵循相關社會責任及廉潔承諾,且須完全符合當地所有相關的法律與規章,並制定《供應商企業社會責任準則同意書》,供應商簽署後使得成為合格供應商。我們更在原有管理機制之基礎上深化管理力道,依據供應商之屬性建立適用的選商與評鑑機制。
資訊安全管理組織
中磊設有「資訊安全委員會」主責企業資訊安全之監督與治理,委員會由營運長擔任召集人,定期召開會議檢視及決議資訊安全與資訊保護方針及政策,確保資訊安全管理措施的有效性,並每年向董事會彙報資安管理成效、資安相關議題及方向。委員會轄下設置透過涵蓋海內外子公司各單位的「資訊安全推動小組」,統籌資訊安全及保護相關政策制定、執行、風險管理與遵循度查核,以落實PDCA的管理循環機制,並且每年向委員會彙報資安管理推動情形與成果。
為落實資訊安全管理,確保相關資訊基礎建設、資訊應用系統及產品與客戶之資訊安全,訂定《資訊安全政策》做為管理指引,此政策由「資訊安全委員會」主任委員核定通過並實施。
產品資訊安全
中磊重視產品資訊安全,我們於軟體研發組織之中特別成立產品安全事件應變小組 (Product Security Incident Response Team, PSIRT) ,負責接收、處理並公開與中磊產品與解決方案相關的資安漏洞,且為唯一對外揭露漏洞的管道。中磊鼓勵研究人員、產業組織及供應商,主動通報與中磊產品相關的安全性漏洞至 PSIRT。
為利漏洞確認,來信請儘可能包含以下資訊(不限於):
- 受影響產品與版本(包含產品名稱、型號、版本號、產地與安裝地點)
- 詳細描述(如系統設定、漏洞重現方式、發現漏洞的過程、所使用工具或技術,以及漏洞被利用後的影響)
- 利用情形(是否已被利用,以及是否有公開利用方式)
如發現上述情形,請將上述資訊寄送至:PSIRT@sercomm.com,感謝您的協助。
- 資安威脅情資與防護技術掌握
- 資安違規通報及處置
- 資訊安全教育訓練與案例宣導
- 資訊承包廠商定期評鑑
- 企業資訊安全風險評估
- 資訊安全風險評鑑及事故管理程序制定
- 遵循國際標準(ISO/IEC27001)
- 機敏資料定義及加密保護機制
資安持續監控與稽核
-
資訊安全持續監控
-
定期弱點掃描
-
系統滲透測試演練
-
機密資訊盤點及風險評鑑
-
災害復原模擬演練
-
通過資安國際稽核認證
資安防護面向
-
實體及環境安全
-
人力資源安全
-
網路通訊安全
-
存取控制管理
-
資訊安全事故管理
-
資訊安全層面之營運持續管理
-
資料安全
-
供應商安全管理
-
資安法規別
2023年5月,經董事會決議,正式成立「永續發展委員會」,為實 踐企業公民社會責任,接軌國際趨勢,積極回應厲害關係人對於環 境、社會及公司治理等面向風險評估與因應對策,以達永續經營之目標,「永續發展指導委員會」之委員係由董事及公司高階經理人 組成,其職權包括:制定永續發展方向及目標,並擬定相關管理方 針及具體推動計畫。宣導及落實公司誠信經營及風險管理之相關工作。企業永續發展執行情形與成效之追蹤及檢視等。
中磊訂定「風險管理政策與程序」於2020年11月經董事會通過,作為公司風險管理之最高指導原則,強調全員全面風險控管,平時落實層層防範,確保正確即時傳遞風險資訊,以做好第一線責任管理。
各風險管理單位主管或指派人員須負責相關業務之第二線責任管理,清楚掌握各風險規定之有效執行,將有限資源有效率地配置於相關風險管理工作,發現風險事件時應提出回應對策及復原計畫,並視需要徵詢外部專家意見,呈報經營管理委員會決議後,執行增修之相關內部規範,以確保持續有效改善並掌握重要因子,期降低風險發生損失的機率及程度。本公司依重大性原則從各面向辨識出風險管理範疇包括策略、營運、財務面及事件等面向。
中磊依據產業脈絡與特性彙整利害關係人清單,並參考AccountAbility 組織所發布之AA1000 利害關係人議合標準 (AA1000 Stakeholder Engagement Standard 2015, AA1000 SES) 中的五大原則鑑別關鍵的利害關係人,鑑別結果包括客戶、ESG 評價/ 評級組織、員工、供應商、政府機關、投資人/ 金融機構和新聞媒體等 7 類利害關係人。
中磊依循GRI 通用準則2021 版的重大性鑑別四大步驟,以「本公司經濟活動對外部經濟、環境、人(人權)所造成的實際或潛在衝擊程度」及「對於本公司永續經營可能產生之影響程度」進行評估,並呼應歐盟雙重重大性原則 (Double Materiality) ,將利害關係人意見納入重大主題鑑別流程,並深化正面與負面衝擊因子的評估面向,使利害關係人與資訊使用者更能瞭解中磊電子在經濟活動過程中,對外部及內部造成之實質性衝擊。2024年重大主題詳見永續報告書。
為積極瞭解利害關係人之需求及關注主題,本公司設有相對應之權責單位進行即時溝通、回應、檢討並改善。於各年度出版永續報告書後,一年至少一次定期向董事會報告與各利害關係人溝通情形(詳見功能性委員會頁面)。
本公司訂有「員工行為準則」、「內部重大訊息處理程序」等,作為員工在執行公司營運活動時之指引,本準則包括一般性原則、顧客及供應商關係及利益衝突,相關原則規範已涵括本公司對於誠信經營之政策。定期舉辦新進人員訓練、一般通識訓練及管理發展訓練,宣導誠信經營政策。並要求員工出具承諾書,承諾遵守工作規則、相關作業程序及行為指南等內部規章制度,要求公司及轄下各子公司之整體營運活動均應遵循相關法規,恪守高度職業道德標準,避免從事不公平競爭之行為、確實履行納稅義務、反賄賂貪瀆並建立適當管理制度,以營造公平競爭環境。亦將上述規章列為所有同仁於內部網站之E-Learning必修課,作為日常從業行為之依據。此外,本公司有關營運重大政策、投資案、取得或處分資產、資金貸與、背書保證、銀行融資等事項皆經相關權責部門評估分析並經董事會決議。
