Confirm

國巨公司在過去十年中經由成功地併購和持續的產能擴充策略,以其卓越的技術、配送和產品組合迅速地成長。 在全球性市場上提高公司知名度的同時,國巨公司在經營和財務資訊揭露也積極符合較高的標準。國巨公司相信落實公司治理比做好公共關係更重要並堅守公司透明度和正直標準,受益於更有效的風險管理,更高效率的組織運作,更好的市場吸引力,因此近年來儘管經濟不景氣,投資大眾對我們仍有信心。在追求成為世界頂尖的被動元件服務供應商的過程中,加強公司治理證明和有效的經營模式一樣重要。

國巨公司內部對營運及資訊揭露的標準甚嚴,遵循資訊揭露之公平性、一致性與即時性原則。在提高資訊透明度方面,國巨公司建置多項常態性與機動性的措施,其中包括每季舉行法人說明會、定期在網站上公佈集團合併營運及財務相關資訊,並不定期參與全球性法人說明會及海外巡迴說明會。同時主動與券商分析師、法人股東舉行個別會談,將公司文化、策略執行與財務績效,積極且充份地與大眾進行雙向溝通。

yageo_select_icon_csr.png 國巨公司治理概要  yageo_select_icon_csr.png 檢舉制度管理辦法  yageo_select_icon_csr.png 風險管理政策與程序  yageo_select_icon_csr.png 國巨內部重大資訊處理作業  yageo_select_icon_csr.png 國巨董事會績效評估辦法  yageo_select_icon_csr.png 誠信經營政策  yageo_select_icon_csr.png 提名委員會組織規程  yageo_select_icon_csr.png 公司治理實務守則 
yageo_select_icon_csr.png 國巨集團溫室氣體減排聲明  yageo_select_icon_csr.png 關係人相互間財務業務相關作業規範及情形

yageo_about_governance_img.jpg

 

資通安全風險管理

 

一、資通安全風險管理架構 

  1. 本公司資訊安全風險管理之權責單位為資訊事業群,由資訊長擔任資訊安全總代表。轄下設置資訊安全部門,該部門主管為資安長,統籌國巨集團資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向資訊長陳報整體資安管理組織及制度之執行成效。本公司每年定期將資通安全管理報告於董事會報告。
  2. 本公司稽核室為資訊安全監理之督導單位;外部則定期委聘會計師事務所執行資訊及資安稽核。內外部稽核過程中若有發現缺失,即需提出相關改善計畫與具體作為,且追蹤改善成效以降低內部作業風險。

資通安全管理報告已於113年10月29日於董事會報告。

 

二、資通安全政策 

  1. 國巨同仁有義務保護公司商業資訊、包括專利、製程、配方及其他智慧財產,禁止任意使用、洩露、竄改或破壞。
  2. 公司員工未經核准,不得在公司內使用私人或非國巨公司所擁有之電腦、存取設備、及媒體 (如隨身碟、軟、硬碟機、燒錄機、磁片、光碟及任何形式之儲存裝置或媒體)。
  3. 所有經國巨公司電腦或網路設備所接收、發送或儲存的訊息,均視為國巨公司的資產。
  4. 禁止將公司業務相關資料、工作檔案、簡報資料、公司內部溝通文件及公告內容經由電子郵件傳送至非相關部門及人員、外部個人信箱及非國巨業務相關之郵件帳號。
  5. 絕對禁止使用國巨網路及電腦資源入侵他人系統或用來從事娛樂、個人投資理財、或傳播色情圖片、音樂檔案、笑話及其他非業務相關活動。
  6. 公司同仁有主動保護公司電腦系統資料、維護個人密碼及防制電腦病毒散播之責。
  7. 公司同仁不得於公司電腦設備上安裝或使用任何違法或未經授權的程式。

 

以上國巨資訊安全政策適用於國巨集團內部所有同仁(包含約聘人員) ,若有違反,有可能觸法及遭到解僱之懲處,同時公司保留任何損害之求償權利。

 


三、具體管理方案


公司為強化整體資訊安全,持續進行多項資訊安全強化專案與措施,範圍包含:

1. 網路資安管控

(1) 備有防火牆,及次世代防毒系統
(2) 備有智慧防駭系統,如網路防入侵IPS,Email anti phishing , 端點設備異常偵測 EDR
(3) 定期檢視網路服務系統日誌,追蹤異常之情形
(4) 運用先進加密技術(如憑證或SSL等),增強機敏資料傳輸保障     
(5) 定期對公司資訊設備執行系統弱點掃描,並採取相應強化措施。
(6) 備有威脅偵測與應變服務(MDR),監控網路封包及作業系統日誌,辨識惡意行為徵,即時介入處置。定期更新異常監控規則
(7) 加入TWCERT台灣電腦網路危機處理暨協調中心,取得即時資安情治,更新公司監控機制以阻擋最新的攻擊

2. 資料防護管控

(1) 採用多因子認證技術(MFA),強化存取網路資源的身分認證

(2) 電腦設備造冊專人保管,依據職務賦予適當的存取權限

(3) 資訊設備報廢前先將所有資料徹底抹除

(4) 備有關鍵系統資料存取日誌,以利查核追蹤

(5) 關鍵廠區實作USB封鎖,防止資料外洩保護產線

 

3. 應變復原機制


(1) 建置關鍵系統高可用度(HA)與災難復原(DR)的機制
(2) 建立系統備份機制,落實雙重與異地備份保護
(3) 制定緊急應變計劃與定期演練系統復原

4. 宣導及檢核


(1) 新進人員皆須簽定資通安全保密協定。
(2) 定期辦理資訊安全教育訓練及宣導作業,提升員工資安意識
(3) 對在職同仁施行社交工程演練盲測


5. 密碼政策及帳號管理


(1) 本公司帳號的密碼政策參考國際標準,採用國際級的密碼政策,定期變更密碼
(2) 系統帳號需經過申請後方能開通使用;員工離職後即停用並刪除其帳號。
(3) 備有身分識別的資安監控方案,監控暴力破解、登入及使用異常的行為

 

四、投入資通安全管理之資源

  1. 公司每年編列預算持續加強及更新資訊安全設備,確保使用與時俱進的資安防護技術以落實資訊安全保護,維持企業持續營運。
  2. 為強化員工資安意識,國巨將資訊安全教材定期更新至集團線上學習平台,並以每年的資安事件當做宣導教材,以提升員工對於資訊安全問題與政策的意識,本年度課程內容包含:強化員工資安知識、宣導公司最新資訊安全規範,以及課後測驗,通過測試驗的同仁將獲得平台發予完訓證書,本年度國內外共約9,000人次完訓。
  3. 專責人力: 本公司稽核室為資訊安全監理之督導單位;外部則定期委聘會計師事務所執行資訊及資安稽核。
  4. 客戶滿意: 在本公司嚴格的資安管理之下,本年度無發生任何外部或監理機關投訴的侵犯客戶隱私案件。