一、企業背景與產業環境

國巨（上市電子零組件；股票代號：2327）為全球知名的被動元件製造商，近年透過併購擴展至美國、歐洲與亞洲市場，旗下子公司涵蓋電容、電阻、電感等關鍵零組件供應。其資訊系統承載大量製造參數、客戶訂單與供應鏈資料，資安韌性直接關係到全球供應穩定與客戶信任。
根據 2024年11月Yahoo 股市的報導(相關連結：https://tw.stock.yahoo.com/share/30e9b847-93f5-4784-9def-bd423c5fad90 )，國巨子公司基美（KEMET）在2022年10月12日，於美國遭駭客攻擊，事件發生後並未即時發布重大訊息，導致延遲揭露而遭證交所裁罰新台幣5萬元。此舉引發外界對其資安通報制度與揭露透明度的質疑。

二、資訊韌性切入角度

(1) 國巨於113/11/08在公開資訊觀測站所發佈之重訊：(該事件已過兩年的時間)

(2) 引用2024/11/8鉅亨網新聞網報導：https://tw.stock.yahoo.com/share/41341a5f-baf1-3650-9a3d-77306ac41347

三、韌性策略與實際狀況

國巨雖具備跨國營運架構與資安防護能力，但此次事件顯示其在制度韌性上仍存在明顯落差：

•	通報節奏失調：事件發生後未依規定時限通報，顯示內部通報流程與法遵機制可能不夠健全；
•	揭露透明度不足：未主動向外界說明事件影響範圍、復原進度與改善措施，削弱外部信任；
•	跨國治理斷層：子公司發生資安事件，母公司未能即時掌握並處理，顯示資安治理未能有效整合併購體系。

四、制度與文化支撐

從2024年國巨的永續報告書來看，國巨主要的資安政策是朝向保密的方向，對於通報及跨國資安管理並未有提及。

五、筆者看法及觀點

由於國巨這件資安事件是發生在兩年前，兩年之後，才公告該事件所造成的損失：

「取消訂單加閒置產能影響金額約 370 萬美元(約新台幣 1.2 億元)，影響比率不重大，對公司營運無重大影響。」
「國巨說明，於遭受網路攻擊時，訂單取消金額約 60 萬元，佔 KEMET ElectronicsCorporation 2022 年度銷貨收入約為 0.04%；閒置產能影響金額約美元 310 百萬元，佔其 2022 年度營業利益約為 0.75%。」

根據新聞的這兩段說明，到底損失達多少比例才算對營運有影響？如果沒有重大影響，那為何又被交易所管區要求113年度公告，並罰款？

然而，這樣的損失比例是否「不重大」，其判準並不明確。若以 0.75% 的營業利益損失來看，雖未讓整體營運損害程度，但對單一子公司而言，已不是說對營運沒有影響了。更何況，事件造成的並非單一財務損失，而是延伸出例如：訂單取消、產能停擺、客戶信任受損與系統復原成本等多重衝擊。因此，交易所要求國巨於113年度補公告並裁罰，反映出主管機關對「資訊揭露延遲」與「損失影響低估」的制度性警訊。

筆者認為，交易所應明確訂定「對公司營運有無重大影響」的量化標準，例如以營業利益、營收、或資產損失比例作為通報門檻，避免企業以模糊語句淡化事件影響。此外，國巨在 113 年度補公告後，於永續報告書與股東會年報中，也並未針對該事件進行制度性檢討或揭露通報流程的改善措施，顯示資安治理尚待強化。

最後，若企業選擇延遲揭露、低估影響、缺乏反思，很有機會會在下一次事件中，付出更高的資安韌性的代價。

以上給大家做參考!