資安管理
資安政策、組織與目標
為強化資安防護韌性與管理機制,本公司從公司治理角度出發,訂立「日月光投控資訊安全政策」作為最高管理依據。確保公司重要資訊財產之機密性、完整性及可用性,並符合相關法規與規範要求,進而獲得客戶信賴、提升公司競爭優勢,確保營運與重要業務的永續運作。日月光投控依相關法令與營運目標進行資訊安全風險評估,讓董事會與高階管理階層定期瞭解當前資訊安全議題和公司資安現況,做為設立資訊安全指導方向、策略與目標之依據。
本公司由張洪本副董事長擔任資安專責董事,並於本公司永續發展委員會下成立「資安管理分組」,綜理日月光投控整體資安策略發展與資安成熟度評量對標,主責整體資安風險管理、督導各子公司資安管理運作、協調溝通內外部技術資源與情資,以期提升資安能量降低資安威脅與風險。「資安管理分組」設置資安長 (CISO)一職,由本公司集團行政長暨公司治理主管兼任,主責指示日月光投控資安風險管理架構、定期溝通檢討各子公司資安管理方案與事件應變,並於每年第四季向董事會報告資安治理情況。另由本公司企業永續處擔任執行祕書負責推動與執行資安相關工作,各子公司委派資安團隊擔任分組成員,負責執行資安管理分組決議之資訊安全作業。本公司每季召開一次資安管理分組會議,檢視及決議公司整體資安策略,以及報告與討論日月光投控資安工作進度,並邀請外部專家分享資安趨勢與重要議題。
資訊安全是企業營運的根本,日月光投控一直以來重視資安管理,不僅鑑別內外部資安相關風險與制定因應對策,並每年定期執行所有廠區的 NIST CSF 資安成熟度評估,持續推動國內外廠區網路安全規劃和改善方案,以提升資安不同面向的能量與整體成熟度,防止與降低資安事件所帶來的衝擊。同時,我們亦透過實施全體員工資安教育訓練提升員工資安意識,避免重大資安事件發生。透過有效的資安管理措施,不斷強化企業營運韌性,提高利害關係人信心與滿意度,達到永續營運的目標。
資安認證與成熟度*
資安認證
日月光投控透過企業營運持續管理與國際資訊安全等管理標準,持續嚴格檢視與優化資安工作流程與管理措施,提升企業營運韌性,全方位保障公司智慧製造安全與企業永續競爭優勢。
國際資安認證
| ISO 27001 | 日月光半導體高雄廠、中壢廠、上海材料廠、矽品與環電,針對關鍵基礎設施持續營運所需之重要資訊系統,持續精進並落實各項資訊安全管理,奠定穩定、厚實的IT環境基礎。 |
| ISO 22301 | 日月光半導體高雄廠、矽品和環電為強化危機管理及災害應變的管理機制取得 BCMS 營運持續管理系統 ISO 22301 認證,提供企業良好的防護管理框架,作為穩固資安治理的第一步。 |
| ISO 15408 | 日月光半導體高雄廠和中壢廠通過安全認證 EAL6 最高等級,打造符合國際規範安全產品的生產環境與管理模式,並提升公司產品運送的安全管理機制,給予封裝及測試等生產製程資訊安全保證,提供給客戶更好的服務。 |
| ISO 21434 | 日月光半導體高雄廠通過德國 TUV NORD 認證,成為全球第一家榮獲 ISO/SAE 21434 國際車用網路安全標準認證且 100% 符合標準的半導體封測大廠。 |
| IEC 62443-2-1 | 日月光半導體高雄廠針對產線生產環境的工控安全,通過德國TUV NORD的專業評鑑,順利取得IEC 62443-2-1認證,成為台灣半導體電子業第一家榮獲此認證之企業。 |
| GSMA | 日月光半導體高雄廠通過行動通訊安全認證標準,取得 GSMA 認證,以製造商的身份,完成生產站點與流程的全面性稽核,符合 UICC 生產安全標準 (GSMA SASUP)。 |
資安成熟度
為有效掌握各子公司每年度整體資安防禦體系的策略調整與強化趨勢,日月光投控於2019年起與第三方專業顧問合作,正式導入NIST CSF資安成熟度評估機制,透過五大關鍵指標:辨識 (Identify)、防護 (Protect)、偵測 (Detect)、應變 (Respond)、與復原 (Recover) 評鑑整體資安成熟度結果,逐年開始以精緻與深化各資安要求為執行方向,每一廠區透過自身成熟度評估成績與缺失建議,可進行個別化資安提升,本公司並對標半導體產業與瞭解自身狀況為目標,了解各子公司在資安不同領域、國別、或營運上的相應風險,進一步整合資源調整與支援指導,落實並持續強化企業整體性的資安管理基礎。2022年延續去年的成熟度評估機制,更針對NIST CSF每個橫向的評估項目上,持續蒐集個別子公司的資安管理與控制現況、資安框架與政策現況等資料,同時因應數位化革命的帶動下,IT與OT的融合愈來愈緊密,特別將橫向實施廣度由IT往OT延伸,期將 OT 資安成熟度往 IT 靠攏,逐步強化企業關鍵營運系統的資安防禦能力。
資安實施與防護
資安風險識別與管理
日月光投控每年定期委託第三方專業單位進行資安稽核與健診,如外部稽核、弱點掃描和滲透測試,確定資訊系統和網路環境符合安全實施標準,嚴格執行資訊安全政策與客戶隱私保護措施,以保護公司商業機密及客戶資料不外洩。針對外界突發性資安攻擊,資安管理分組會即時召集平台技術交流和應變會議,分析檢討相關因應與防禦措施,建構資訊同步的完整防護網。
在推動數位轉型的趨勢下,除持續精進資訊科技(IT),也將IT資安經驗逐步轉移到營運科技(OT),更開始階段性規劃執行 OT 場域資安健診,透過外部專家檢視與測試來降低 OT 資安環境潛在威脅與風險,2022年完成4個廠區 OT 資安健診。
以公司治理角度保障公司營運風險之餘,加強同仁資安保護意識、提升組織運作能力亦為資安管理重點之一。日月光投控所有員工每年定期接受 PIP 資訊安全教育訓練,包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等,2022 年共完成 53,991 人次與 40,019 小時的課程,亦不定期進行社交工程郵件演練,加強員工對於郵件社交工程攻擊的警覺性。同時,陸續導入系統化管理機制,將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒 / 軟體安全等資安相關項目透過系統化方式進行整合,並進行 KPI 監控與稽核,將管理的觸角從上到下深入到每一位員工、每一個端點裝置,得與員工的績效做整合,降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。
提升數位韌性
日月光投控於過往3年皆未發生重大資安事故,除制定相關資安事件等級、通報與應變流程,並且每年執行一次資安事故演練,透過相關管理機制,把握資安事故處理時效、降低風險與減少受害範圍,並建置日月光投控資安管理平台 (ASEH Information Security Management System) 結合資安情資分享與資安事件通報兩大功能,即時掌握與傳遞資安情資,並有效率處理資安事件通報,掌握整體風險情勢,提升資訊安全應變與防護能力,建立橫向之資安聯防機制。同時,因應資訊安全風險已對企業帶來嚴峻考驗與挑戰性,日月光投控以風險管理為出發點,以投保資安險作為後層資安防護手法,投保範圍涵蓋日月光投控及任何從屬公司,以期在資安事故發生同時,能緊急應變與控制受駭影響,並透過保險保障降低自身與客戶、供應商等可能的資安損失以及快速恢復企業正常營運。
為確保營運與重要業務的永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續的風險,我們每半年進行一次災難復原演練,演練計畫內容包括:演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之風險管理、演練 後之檢討與改善等,確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準,以達到重要資訊系統持續營運不中斷,此演練計劃也會持續執行維護、管理與演練,以確保備援機制的有效性。
資安情資交換
我們持續與政府單位、國內外資安組織及平台保持緊密溝通,同時並加入 SEMI 半導體資安委員會,推動台灣半導體晶圓設備資安標準 SEMI E187 – Specification for information security of Fab Equipment,透過資訊安全規範、標準與情資,我們將持續進行管理制度與技術的整合,全面發展、提升內部資安能量;同時,遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待,強化資安防護韌性,保障日月光投控智慧製造安全與企業永續競爭優勢。
供應鏈資安管理
因應供應鏈的數位化以及大量數據交換,供應鏈正面臨前所未有的資安威脅,日月光投控為有效提升上下游供應鏈成員實質資安韌性,從2022年開始制定供應商資訊安全評鑑執行制度,並首先針對關鍵供應商以現況評估、輔導改善、成果確認、循環調查四個步驟進行評鑑,共完成 77 家供應商資安評鑑,後續將逐年擴大評鑑範圍,並且三年執行一次循環定期調查,期可藉此建構一個完善的供應鏈資安管理,確保企業整體營運安全並提升資安韌性,進而提升整個半導體產業的資安環境與水準。
2022年資安措施推動成果
| 資安政策、組織與目標 | 資安認證與成熟度 | 資安實施與防護 |
|---|---|---|
|
|
|
