|
國巨公司在過去十年中經由成功地併購和持續的產能擴充策略,以其卓越的技術、配送和產品組合迅速地成長。 在全球性市場上提高公司知名度的同時,國巨公司在經營和財務資訊揭露也積極符合較高的標準。國巨公司相信落實公司治理比做好公共關係更重要並堅守公司透明度和正直標準,受益於更有效的風險管理,更高效率的組織運作,更好的市場吸引力,因此近年來儘管經濟不景氣,投資大眾對我們仍有信心。在追求成為世界頂尖的被動元件服務供應商的過程中,加強公司治理證明和有效的經營模式一樣重要。
|
 |
資通安全風險管理
一、資通安全風險管理架構
- 本公司資訊安全風險管理之權責單位為資訊事業群,由資訊長擔任資訊安全總代表。轄下設置資訊安全部門,該部門主管為資安長,統籌國巨集團資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實,並定期向資訊長陳報整體資安管理組織及制度之執行成效。
- 本公司稽核室為資訊安全監理之督導單位;外部則定期委聘會計師事務所執行資訊及資安稽核。內外部稽核過程中若有發現缺失,即需提出相關改善計畫與具體作為,且追蹤改善成效以降低內部作業風險。
二、資通安全政策
- 國巨同仁有義務保護公司商業資訊、包括專利、製程、配方及其他智慧財產,禁止任意使用、洩露、竄改或破壞。
- 公司員工未經核準,不得在公司內使用私人或非國巨公司所擁有之電腦、存取設備、及媒體 (如隨身碟、軟、硬碟機、燒錄機、磁片、光碟及任何形式之儲存裝置或媒體)。
- 所有經國巨公司電腦或網路設備所接收、發送或儲存的訊息,均視為國巨公司的資產。
- 禁止將公司業務相關資料、工作檔案、簡報資料、公司內部溝通文件及公告內容經由電子郵件傳送至非相關部門及人員、外部個人信箱及非國巨業務相關之郵件帳號。
- 絕對禁止使用國巨網路及電腦資源入侵他人系統或用來從事娛樂、個人投資理財、或傳播色情圖片、音樂檔案、笑話及其他非業務相關活動。
- 公司同仁有主動保護公司電腦系統資料、維護個人密碼及防制電腦病毒散播之責。
- 公司同仁不得於公司電腦設備上安裝或使用任何違法或未經授權的程式。
以上國巨資訊安全政策適用於國巨集團內部所有同仁(包含約聘人員) ,若有違反,有可能觸法及遭到解僱之懲處,同時公司保留任何損害之求償權利。
三、具體管理方案
公司為強化整體資訊安全,持續進行多項資訊安全強化專案與措施,範圍包含:
- 網路資安管控
(1) 備有防火牆,及次世代防毒系統
(2) 備有智慧防駭系統,如網路防入侵IPS,Email anti phishing , 端點設備異常偵測 EDR
(3) 定期檢視網路服務系統日誌,追蹤異常之情形
(4) 運用先進加密技術(如憑證或SSL等),增強機敏資料傳輸保障
(5) 定期對公司資訊設備執行系統弱點掃描,並採取相應強化措施。
(6) 備有威脅偵測與應變服務(MDR),監控網路封包及作業系統日誌,辨識惡意行為徵,即時介入處置。定期更新異常監控規則
(7) 加入TWCERT臺灣電腦網路危機處理暨協調中心,取得即時資安情治,更新公司監控機制以阻擋最新的攻擊
- 資料防護管控
(1) 採用多因子認證技術(MFA),強化存取網路資源的身分認證
(2) 電腦設備造冊專人保管,依據職務賦予適當的存取權限
(3) 資訊設備報廢前先將所有資料徹底抹除
(4) 備有關鍵系統資料存取日誌,以利查核追蹤
(5) 關鍵廠區實作USB封鎖,防止資料外洩保護產線
- 應變復原機制
(1) 建置關鍵系統高可用度(HA)與災難復原(DR)的機制
(2) 建立系統備份機制,落實雙重與異地備份保護
(3) 制定緊急應變計劃與定期演練系統復原
- 宣導及檢核
(1) 新進人員皆須簽定資通安全保密協定。
(2) 定期辦理資訊安全教育訓練及宣導作業,提升員工資安意識
(3) 對在職同仁施行社交工程演練盲測
- 密碼政策及帳號管理
- 本公司帳號的密碼政策參考國際標準,採用國際級的密碼政策,定期變更密碼
- 系統帳號需經過申請後方能開通使用;員工離職後即停用並刪除其帳號。
- 備有身分識別的資安監控方案,監控暴力破解、登入及使用異常的行為
四、投入資通安全管理之資源
公司每年編列預算持續加強及更新資訊安全設備,確保使用與時俱進的資安防護技術以落實資訊安全保護,維持企業持續營運。
