資安管理

資安實施與防護

資安成熟度

為有效掌握各子公司每年度整體資安防禦體系的策略調整與強化趨勢，日月光投控於 2019 年起與第三方專業顧問合作，正式導入NIST CSF成熟度評估機制，透過五大關鍵指標：辨識(Identify)、防護(Protect)、偵測(Detect)、應變(Respond)、與復原(Recover)評鑑整體資安成熟度結果，逐年開始以精緻與深化各資安要求為執行方向，每一廠區透過自身成熟度評估成績與缺失建議，可進行個別化資安提升，本公司並對標半導體產業與瞭解自身狀況為目標，了解各子公司在資安不同領域、國別或營運上的相應風險，進一步整合資源調整與支援指導，落實並持續強化企業整體性的資安管理基礎。2024年延續去年的成熟度評估機制，委由資誠會計師事務所，透過一致的縱向量化指標，分別針對政策成熟度、控制成熟度、管理成熟度、稽核成熟度以及供應鏈成熟度等範圍，歸納出具體的評估結果，逐步強化企業關鍵營運系統的資安防禦能力。

資安風險識別與管理

日月光投控每年委託第三方專業審查單位，執行資訊安全稽核、系統弱點掃描及滲透測試（Penetration Testing），以確認資訊系統與網路環境符合安全實施標準，確保資訊安全政策與客戶隱私保護措施之落實，有效防止商業機密與客戶資料外洩。所使用之工具包含 Nessus 弱點掃描、BitSight 安全評級、SecurityScorecard 分析平台與紅隊演練（Red Team Assessment），用以檢視系統防禦能力與應變成熟度。此外，投控亦定期每月提供 BitSight 安全評級報告予各廠區參考與追蹤，強化持續改善與風險管理。

因應數位轉型趨勢，本公司除持續精進 IT(Information Technology) 領域資安防護外，亦將 IT 資安經驗延伸至 OT（Operation Technology）場域，自 2022 年起啟動 OT 資安健診計畫，透過外部專家進行檢視與測試，以降低 OT 環境潛在風險，2024 年更有7個廠區完成 OT 資安健診，逐步建立跨領域整合之資安防護體系。

除外部稽核外，亦依據 NIST CSF 與 ISO 27001 架構，針對資訊安全管理系統（ISMS）定期進行內部自我稽核，評估風險管理、控制措施與應變流程之執行成效，並將結果提報高階主管與董事會。若遭遇突發性資安攻擊，資安管理分組將即時召開平台技術交流與應變會議，分析檢討防禦策略並建構資訊同步之完整防護網。

以公司治理角度保障公司營運風險之餘，加強同仁資安保護意識、提升組織運作能力亦為資安管理重點之一。日月光投控所有員工每年定期接受PIP資訊安全教育訓練，包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等，2024年共完成147,289人次與89,371小時的課程，亦不定期進行社交工程郵件演練，加強員工對於郵件社交工程攻擊的警覺性。同時，陸續導入系統化管理機制，將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒/軟體安全等資安相關項目透過系統化方式進行整合，並進行KPI監控與稽核，將管理的觸角從上到下深入到每一位員工、每一個端點裝置，得與員工的績效做整合，降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。

提升數位韌性

日月光投控於2024年未發生重大資訊安全事件。為強化資安應變與防護能力，本公司除制定《資通安全事件通報及應變處理作業程序》，明確定義資訊安全事件的類型、等級、通報及應變機制外，亦持續執行各類資安事件演練，強化全員應變意識與處理效率。該作業程序詳訂資通安全事件的分類、應變組織之架構、事件等級判定、通報與處置程序、事件監控與收尾、後續追蹤與調查、改善措施及證據蒐集等規範，以作為全體員工統一遵循之依據。此外，日月光投控建置資訊安全管理平台系統（ASEH Information Security Management System），結合「資安情資分享」與「資安事件通報」兩大核心功能，能即時掌握內外部資安威脅，迅速完成事件回報與應處，全面提升風險可視性與資安聯防能力。因應資安風險對企業營運所帶來的高度挑戰，本公司亦導入風險管理思維，投保涵蓋日月光投控及所有從屬公司之資安保險，作為後層資安防護機制，期能於事件發生時迅速應變與控制衝擊，降低對公司本身、客戶及供應鏈可能造成的損失，並協助企業快速恢復正常營運。

為確保營運與重要業務的永續運作，避免重要資訊系統因重大災難事件而導致服務無法持續的風險，我們每半年進行一次災難復原演練，演練計畫內容包括：演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之風險管理、資料備援回復、演練後之檢討與改善等，確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準，以達到重要資訊系統持續營運不中斷，此演練計劃也會持續執行維護、管理與演練，以確保備援機制的有效性。

資安情資交換

我們持續與政府單位、國內外資安組織及平台保持緊密溝通，例如：FIRST、TWCERT/CC 台灣資安聯盟、高科技資安聯盟等，透過組織溝通管道，與產業同業、供應鏈分享最新趨勢和行動方案，提升台灣產業資安防護水平。同時並加入 SEMI 半導體資安委員會，推動台灣半導體晶圓設備資安標準 SEMI E187 – Specification for Cybersecurity of Fab Equipment，透過資訊安全規範、標準與情資，我們將持續進行管理制度與技術的整合，全面發展、提升內部資安能量；同時，遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待，強化資安防護韌性，保障日月光投控智慧製造安全與企業永續競爭優勢。

供應鏈資安管理

因應供應鏈的數位化以及大量數據交換，供應鏈正面臨前所未有的資安威脅，日月光投控為有效提升上下游供應鏈成員實質資安韌性，從2022年開始制定供應商資訊安全評鑑執行制度，並首先針對關鍵供應商以現況評估、輔導改善、成果確認、循環調查四個步驟進行評鑑，2024年共完成96家供應商資安評鑑，後續將逐年擴大評鑑範圍，並且三年執行一次循環定期調查，期可藉此建構一個完善的供應鏈資安管理，確保企業整體營運安全並提升資安韌性，進而提升整個半導體產業的資安環境與水準。