風險管理政策   　  　  　  　  　  　  　  　  　  　  　    　  　

為確保公司穩健經營與永續發展，健全誠信之經營理念，降低營運可能面臨之風險，於2022年經董事會決議通過訂定「風險管理政策與程序辦法」，並定期評估風險。風險管理政策係依照公司整體營運方針定義各類風險，建立及早辨識、準確衡量、有效監督及嚴格控管之風險管理機制，在可承受之風險範圍內，預防可能的損失，依據內外環境變化，持續調整改善最佳風險管理實務，以保護員工、股東、合作夥伴與顧客的利益，增加公司價值，並達成公司資源配置之最佳化原則。

風險管理組織架構

董事會	為公司風險管理之最高單位，以遵循法令，推動並落實公司整體風險管理為目標，明確瞭解營運所面臨之風險，確保風險管理之有效性，並負風險管理最終責任。
風險管理小組	於董事會下設置企業永續發展委員會，並於其下設置風險管理小組。風險管理小組為負責執行風險管理之權責單位，每年應定期召開會議並向企業永續發展委員會報告風險管理結果。
內部稽核	為隸屬董事會之獨立部門，職司內部控制及內部稽核，每年應依風險評估提交年度稽核計畫，並將公司風險管理執行情形向審計委員會提出報告。
各功能單位	功能單位主管負有風險管理之責任，負責分析及監控所屬單位內之相關風險，確保風險控管機制與程序能有效執行。

風險管理範疇及管理措施

風險範疇	風險管理措施
營運風險	訂定「永續發展委員會設置辦法」，設置永續發展委員會，其中包括風險小組。 稽核部門依據風險評估制訂年度稽核查核計劃，並依計劃執行。 訂定風險管理政策與程序辦法，並於2022年提報董事會。
財務風險	營運加強存貨及應收帳款等重大資產管理，獲利維持成長。 完成銀行聯合授信、可轉換公司債等資金募集，充實營運資金。
資訊安全風險	訂定「資通安全管理政策」，並於2022年向董事會報告執行情形。
環境風險	支持國際組織金融穩定委員會 (Financial Stability Board, FSB) 於2017年6月透過財務資訊揭露專案工作小組所發佈的氣候變遷相關財務揭露(Task Force on Climate-Related Financial Disclosures, TCFD)，展開氣候變遷相關風險與機會之治理作業，並按其建議的框架揭露年度工作進度與成果。

2022年度運作情形                                               

1.制訂「風險管理政策與程序辦法」，並已於2022年董事會決議通過。

2.本公司風險管理小組於2022/11/10董事會報告風險管理作業情形。   

智慧財產管理計畫及執行情形

智慧財產管理計畫

全科長期以來建立良好之公司治理制度為基礎，配合證交所「上市上櫃公司治理實務守則」與「公司治理評鑑指標」的智慧財產指標，最終制訂出營運目標連結之智慧財產管理計畫。

為加強本公司智慧財產權之管理，特依據專利法、商標法、著作權法、營業秘密法等智慧財產權管理相關法規而制定「智慧財產權管理辦法」，以規範及管理專利、商標、著作、營業秘密等各項智慧財產權之取得、維護及運用，提昇公司競爭力，保障公司及股東權益。

本公司訂定由永續發展委員會執行辦公室擔任智慧財產權管理主責單位。

智慧財產執行情形

重視資訊安全、遵守各項法令及職業道德規範是全科對公司同仁及利害關係人的承諾，確保機密資料及客戶的隱私受到尊重，也攸關公司的競爭優勢。全科秉持誠信守法經營原則，一向重視各類智慧財產權及著作權的限制及規定。

為落實智慧財產政策，對公司內部及利害關係人的具體執行措施如下

1. 員工於入職時均須簽訂「聘僱暨智權歸屬保密聲明書」，依法約定在職期間至離職後，對公司之智慧財產權、著作權及營業秘密應負擔保密義務。
2. 公司內部持續透過每季的公司季會及企業入口網站(Enterprise Information Portal; EIP)公告宣導並教育尊重智慧財產權、正確使用合法授權軟體等資安觀念，確保員工能正確使用合法授權軟體，並避免因誤用未經授權之軟體而形成侵權行為，以保障公司資訊安全。
3. 本公司運用Microsoft 365及Teams等雲端數位化服務時，登入帳號全面啟用二階驗證，以提升資訊安全防護強度，避免密碼遭竊造成資安風險。
4. 透過簽訂保密協議的方式與客戶達成遵守智慧財產、營業秘密、資訊安全管理之目的。
5. 產出的智慧財產作品均妥善存放於公司資訊系統，並持續地進行維護及運用。如:新進員工線上教育訓練課程、專業實務講座影音課程、資訊系統使用手冊、企業永續報告書等。
6. 截至2022年10月31日止，本公司商標、專利案件成果如下：註冊商標：5件。專利：發明專利已核准領證共1件。
7. 本公司每年將智慧財產管理之執行情形向董事會報告一次。最近一次提報日期為2022年11月10日，以確保智慧財產管理之運作與成效符合公司之預期與規劃，並建立持續改善之機制。

資通安全管理政策

資通安全風險管理架構

於公司永續發展委員會組織下設立資訊安全與流程管理小組，由資訊部門最高主管兼任資訊安全長，負責統籌資訊與網路安全管理，包含政策、計畫、執行及分析資通安全事件，並設立資訊安全專責部門，定期於高階主管會議彙報，每年評估資通安全政策及彙報董事會。

資通安全政策

本公司秉持維護資訊安全作業環境之安全理念，採行必要之管理、作業及技術等安全防護手段、措施或機制，以確保重要資訊之機密性、完整性、及可用性，對於本公司資訊系統暨其處理程序、儲存之媒體及資料庫、傳遞之數據作周全保護與防範。建立安全及可信賴之電腦化作業環境，以確保本公司電腦資料、系統、設備及網路安全之資通安全目標。若有遭受惡意攻擊、破壞或不當使用等緊急事故發生時，能夠迅速作必要之應變處置，在最短時間內回復正常運作，以降低事故可能影響及危害本公司業務運作之損害程度。

具體管理方案及資源

1. 落實個人電腦及伺服器防毒軟體端點防護。
2. 更換新世代防火牆，具有應用程式辨識能力，強化外部攻擊行為防禦及記錄分析。
3. 身份識別自動區隔員工及訪客的身份，並區隔網路及存取路徑。
4. 建立垃圾郵件防護機制，有效攔截郵件病毒、惡意郵件及釣魚詐騙信件。
5. 電子郵件系統轉移至國際領先雲端系統，提升資訊安全及服務等級。
6. 雲端服務強制啟用二階驗證登入，提升資訊安全防護強度，降低資安風險。
7. 本地資料備份及快照，在硬體未受損壞的狀況下得以最快的方式復原毀損的資料。
8. 每日備份異地抄寫，雙重防護。
9. 定期資訊系統災害演練，以期在意外發生時能夠在最短時間恢復公司營運。
10. 定期執行資訊安全宣導，提醒同仁應遵守法律規範與資訊安全政策要求，強化同仁資安認知及法令觀念。
11. 每年實施弱點掃描及排除。
12. 加入「臺灣電腦網路危機處理暨協調中心」(TWCERT/CC)資安情資分享組織，取得資安預警情資、資安威脅與弱點資訊。

資通安全風險與因應措施

本公司已建立網路與電腦相關資安防護措施，但無法保證其控管或維持公司營運及會計等重要企業功能之電腦系統能完全避免來自任何第三方癱瘓系統的網路攻擊。這些網路攻擊以非法方式入侵本公司的內部網路系統，進行破壞公司之營運及損及公司商譽等活動。在遭受嚴重網路攻擊的情況下，本公司的系統可能會失去公司重要的資料，系統可能無法運作，將導致無法出貨造成營運中斷或延誤出貨而需賠償客戶的損失。本公司透過持續檢視和評估其資訊安全規章及程序，以確保其適當性和有效性，但不能保證公司在瞬息萬變的資訊安全威脅中不受推陳出新的風險和攻擊所影響。

本公司落實資訊安全改進措施並持續更新，例如端點防毒機制及掃毒措施、新世代網路防火牆、垃圾郵件防護機制、強制啟用二階驗證登入、本地資料備份及異地抄寫、定期資訊系統災害演練、定期社交工程演練進行員工警覺性測試、每年實施弱點掃描及排除。雖然本公司持續加強資訊安全防護措施，但仍無法保證公司免於惡意軟體及駭客攻擊。

重大資通安全事件

本公司最近年度，未發生影響公司營運之重大資安事件。

供應商永續管理政策

全科始終堅持以縱向發展，橫向聯合為基礎與所有利害關係人攜手成長。除了重視供應商的電子產品品質、交期與價格外，亦與供應商共同推動職業安全衛生、勞動人權、環境保護等議題，以達成共同善盡企業社會責任之宗旨。

在供應商管理政策上，我們格外重視「產品有害物質管理」及「衝突礦產管理」議題，並將計畫（Plan）、執行（Do）、查核（Check）、行動（Act）的PDCA品質循環精神建構在供應商永續管理政策內。本公司雖為通路商，無法直接掌控產品製造成分及來源，但我們依然主動關注，並要求所代理的產品須滿足現今國際環保及社會議題要求之規範，並進一步公開揭露相關資訊，以善盡責任採購之職。

供應商永續管理政策具體要求

PDCA	永續管理政策架構	產品有害物管理	衝突礦產管理
計畫(Plan)	評估供應商方式	符合最新歐盟RoHS指令與REACH要求。	進行盡職調查，評估並追蹤產品原物料冶煉廠來源。
執行(Do)	供應商稽核	針對歸納鑑別出的關鍵供應商的進行書面審查及分析，並針對有疑慮之處與供應商進行溝通及引導。
查核(Check)	供應商績效評估	查證後檢視該目標與成果，並探討造成落差之根源。
行動(Act)	持續提升管理目標	擴大鑑別範疇，並思考如何額外針對服務類供應商啟動定期評鑑機制。

產品有害物質管理實施情形

全科將國際環保法規要求具體化為管理政策，進而落實在產品有害物質管理機制中，已將歐盟的「危害性物質限制指令」(簡稱 RoHS指令; Restriction of Hazardous Substances Directive)及「化學品註冊、評估、許可和限制法案」 (簡稱 REACH; Registration, Evaluation, Authorization, and Restriction of Chemicals)作為本公司供應商永續管理之標準依據。

由全科的文管部門依據供應商提供的各項書面資訊，針對環境中的有害物質管理與辨識詳實審查分析，以確認每一個交易品項是否符合環保法規要求，並系統化地將資料與數據彙整於資料庫中，藉由分析物料中各種化學物質成分，進而評估供應商的產品哪些所含化學物質可能對地球環境與人體健康造成衝擊。若經評估產品有危害環境之虞，則即時引導及溝通要求供應商改善，輔導直至符合前述產品有害物質管理機制為止。

衝突礦產管理實施情形

全科遵循經濟合作暨發展組織 (簡稱 OECD; Organisation for Economic Cooperation and Development) 所制訂的「來自有衝突或高風險地區的礦產其負責任的供應鏈盡職調查指南 (Due Diligence Guidance for Responsible Supply Chains of Minerals from Conflict-Affected and High-Risk Areas)」的指導原則建立「盡職調查 (Due Diligence) 」架構，以此調查程序鑑別及評估供應商風險，並採用責任礦產倡議組織 (簡稱 RMI; Responsible Minerals Initiative) 所發布之衝突礦產報告模板 (簡稱 CMRT;Conflict Minerals Reporting Template) 做為盡職調查實施依據，具體要求供應商確實披露礦產來源，若來自衝突地區，必須產自第三方驗證通過之無衝突礦場。

若用於本公司之產品中非故意使用到衝突礦產，則要求供應商必須於調查中詳實揭露，藉此確保提供之產品不來自衝突地區所生產之金屬，達成負責任採購管理之目標。