為強化資安防護韌性與管理機制,本公司從公司治理角度出發,訂立「日月光投控資訊安全政策」作為最高管理依據,並定期進行資安事故演練、辦理員工資安教育訓練及宣導,強化全體安全意識,以確保公司重要資訊財產之機密性、完整性及可用性,符合相關法規與規範要求,進而獲得客戶信賴、提升公司競爭優勢,確保營運與重要業務的永續運作。日月光投控並依相關法令與營運目標進行資訊安全風險評估,讓董事會與高階管理階層定期瞭解當前資訊安全議題和公司資安現況,做為設立資訊安全指導方向、策略與目標之依據。
日月光投控由張洪本副董事長擔任資安專責董事,並於本公司董事會下成立永續發展暨資安委員會,委員會成員皆由本公司董事擔任。該委員會統籌日月光投控之整體資訊安全策略發展與成熟度對標評估,負責資安風險管理之整體規劃與監督,督導各子公司資訊安全管理運作,並協調整合內外部技術資源與情資,以強化資安能量、降低潛在威脅與風險。永續發展暨資安委員會設置資安長(CISO)一職,由本公司行政長暨公司治理主管兼任,主責指示日月光投控資安風險管理架構、定期溝通檢討各子公司資安管理方案與事件應變,並於每年第四季向董事會報告資安治理情況。另由本公司永續處擔任執行祕書負責推動與執行資安相關工作,各子公司委派資安團隊擔任分組成員,負責執行資安管理分組決議之資訊安全作業。本公司每季召開一次資安管理分組會議,檢視及決議公司整體資安策略,以及報告與討論日月光投控資安工作進度,並邀請外部專家分享資安趨勢與重要議題。
資訊安全是企業營運的根本,日月光投控一直以來重視資安管理,不僅鑑別內外部資安相關風險與制定因應對策,並每年定期執行所有廠區的 NIST CSF 資安成熟度評估,持續推動國內外廠區網路安全規劃和改善方案,以提升資安不同面向的能量與整體成熟度,防止與降低資安事件所帶來的衝擊。同時,我們亦透過實施全體員工資安教育訓練提升員工資安意識,避免重大資安事件發生。透過有效的資安管理措施,不斷強化企業營運韌性,提高利害關係人信心與滿意度,達到永續營運的目標。
為有效掌握各子公司每年度整體資安防禦體系的策略調整與強化趨勢,日月光投控於 2019 年起與第三方專業顧問合作,正式導入NIST CSF成熟度評估機制,透過五大關鍵指標:辨識(Identify)、防護(Protect)、偵測(Detect)、應變(Respond)、與復原(Recover)評鑑整體資安成熟度結果,逐年開始以精緻與深化各資安要求為執行方向,每一廠區透過自身成熟度評估成績與缺失建議,可進行個別化資安提升,本公司並對標半導體產業與瞭解自身狀況為目標,了解各子公司在資安不同領域、國別或營運上的相應風險,進一步整合資源調整與支援指導,落實並持續強化企業整體性的資安管理基礎。2024年延續去年的成熟度評估機制,委由資誠會計師事務所,透過一致的縱向量化指標,分別針對政策成熟度、控制成熟度、管理成熟度、稽核成熟度以及供應鏈成熟度等範圍,歸納出具體的評估結果,逐步強化企業關鍵營運系統的資安防禦能力。
日月光投控每年委託第三方專業審查單位,執行資訊安全稽核、系統弱點掃描及滲透測試(Penetration Testing),以確認資訊系統與網路環境符合安全實施標準,確保資訊安全政策與客戶隱私保護措施之落實,有效防止商業機密與客戶資料外洩。所使用之工具包含 Nessus 弱點掃描、BitSight 安全評級、SecurityScorecard 分析平台與紅隊演練(Red Team Assessment),用以檢視系統防禦能力與應變成熟度。此外,投控亦定期每月提供 BitSight 安全評級報告予各廠區參考與追蹤,強化持續改善與風險管理。
因應數位轉型趨勢,本公司除持續精進 IT(Information Technology) 領域資安防護外,亦將 IT 資安經驗延伸至 OT(Operation Technology)場域,自 2022 年起啟動 OT 資安健診計畫,透過外部專家進行檢視與測試,以降低 OT 環境潛在風險,2024 年更有7個廠區完成 OT 資安健診,逐步建立跨領域整合之資安防護體系。
除外部稽核外,亦依據 NIST CSF 與 ISO 27001 架構,針對資訊安全管理系統(ISMS)定期進行內部自我稽核,評估風險管理、控制措施與應變流程之執行成效,並將結果提報高階主管與董事會。若遭遇突發性資安攻擊,資安管理分組將即時召開平台技術交流與應變會議,分析檢討防禦策略並建構資訊同步之完整防護網。
以公司治理角度保障公司營運風險之餘,加強同仁資安保護意識、提升組織運作能力亦為資安管理重點之一。日月光投控所有員工每年定期接受PIP資訊安全教育訓練,包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等,2024年共完成147,289人次與89,371小時的課程,亦不定期進行社交工程郵件演練,加強員工對於郵件社交工程攻擊的警覺性。同時,陸續導入系統化管理機制,將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒/軟體安全等資安相關項目透過系統化方式進行整合,並進行KPI監控與稽核,將管理的觸角從上到下深入到每一位員工、每一個端點裝置,得與員工的績效做整合,降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。
日月光投控於2024年未發生重大資訊安全事件。為強化資安應變與防護能力,本公司除制定《資通安全事件通報及應變處理作業程序》,明確定義資訊安全事件的類型、等級、通報及應變機制外,亦持續執行各類資安事件演練,強化全員應變意識與處理效率。該作業程序詳訂資通安全事件的分類、應變組織之架構、事件等級判定、通報與處置程序、事件監控與收尾、後續追蹤與調查、改善措施及證據蒐集等規範,以作為全體員工統一遵循之依據。此外,日月光投控建置資訊安全管理平台系統(ASEH Information Security Management System),結合「資安情資分享」與「資安事件通報」兩大核心功能,能即時掌握內外部資安威脅,迅速完成事件回報與應處,全面提升風險可視性與資安聯防能力。因應資安風險對企業營運所帶來的高度挑戰,本公司亦導入風險管理思維,投保涵蓋日月光投控及所有從屬公司之資安保險,作為後層資安防護機制,期能於事件發生時迅速應變與控制衝擊,降低對公司本身、客戶及供應鏈可能造成的損失,並協助企業快速恢復正常營運。
為確保營運與重要業務的永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續的風險,我們每半年進行一次災難復原演練,演練計畫內容包括:演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之風險管理、資料備援回復、演練後之檢討與改善等,確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準,以達到重要資訊系統持續營運不中斷,此演練計劃也會持續執行維護、管理與演練,以確保備援機制的有效性。
我們持續與政府單位、國內外資安組織及平台保持緊密溝通,例如:FIRST、TWCERT/CC 台灣資安聯盟、高科技資安聯盟等,透過組織溝通管道,與產業同業、供應鏈分享最新趨勢和行動方案,提升台灣產業資安防護水平。同時並加入 SEMI 半導體資安委員會,推動台灣半導體晶圓設備資安標準 SEMI E187 – Specification for Cybersecurity of Fab Equipment,透過資訊安全規範、標準與情資,我們將持續進行管理制度與技術的整合,全面發展、提升內部資安能量;同時,遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待,強化資安防護韌性,保障日月光投控智慧製造安全與企業永續競爭優勢。
因應供應鏈的數位化以及大量數據交換,供應鏈正面臨前所未有的資安威脅,日月光投控為有效提升上下游供應鏈成員實質資安韌性,從2022年開始制定供應商資訊安全評鑑執行制度,並首先針對關鍵供應商以現況評估、輔導改善、成果確認、循環調查四個步驟進行評鑑,2024年共完成96家供應商資安評鑑,後續將逐年擴大評鑑範圍,並且三年執行一次循環定期調查,期可藉此建構一個完善的供應鏈資安管理,確保企業整體營運安全並提升資安韌性,進而提升整個半導體產業的資安環境與水準。
日月光投控重視資安議題,鑑別內外部相關風險,制定與推動各項關鍵因應對策,榮獲國際資安指標認證肯定,包括ISO 27001、ISO22301、ISO15408、ISO21434、IEC 62443、GSMA等。透過企業營運持續管理與國際資訊安全等管理標準,持續嚴格檢視與優化資安工作流程與管理措施,提升企業營運韌性,全方位保障公司智慧製造安全與企業永續競爭優勢。
日月光半導體高雄廠、中壢廠、上海材料廠、矽品與環電,針對關鍵基礎設施持續營運所需之重要資訊系統,持續精進並落實各項資訊安全管理,奠定穩定、厚實的IT環境基礎。
日月光半導體高雄廠、矽品和環電為強化危機管理及災害應變的管理機制取得 BCMS 營運持續管理系統 ISO 22301 認證,提供企業良好的防護管理框架,作為穩固資安治理的第一步。
日月光半導體高雄廠、中壢廠、新加坡廠通過安全認證EAL6最高等級,打造符合國際規範安全產品的生產環境與管理模式,並提升公司產品運送的安全管理機制,給予封裝及測試等生產製程資訊安全保證,提供給客戶更好的服務。
日月光半導體高雄廠通過德國 TUV NORD 認證,成為全球第一家榮獲 ISO/SAE 21434 國際車用網路安全標準認證且 100% 符合標準的半導體封測大廠。
日月光半導體高雄廠針對產線生產環境的工控安全,通過德國TUV NORD的專業評鑑,順利取得IEC 62443-2-1認證,成為台灣半導體電子業第一家榮獲此認證之企業。
日月光半導體高雄廠通過行動通訊安全認證標準,取得 GSMA 認證,以製造商的身份,完成生產站點與流程的全面性稽核,符合 UICC 生產安全標準 (GSMA SASUP)。
日月光投控對內從公司治理角度出發,訂立資訊安全政策、定期進行資安事故演練、辦理員工資安教育訓練及宣導,強化全體安全意識,邀請產官學界代表,定期分享國際間的資安發展議題,提升危機敏感度。對外則積極參與國際資安組織 FIRST、TWCERT/CC台灣資安聯盟、高科技資安聯盟等,透過組織溝通管道,與產業同業、供應鏈分享最新趨勢和行動方案,提升資安防護水平。同時,透過推動認證工作接軌國際,致力降低企業資安的威脅,以確保營運的安全,與客戶及供應鏈夥伴建立長久穩固的合作關係,提供更完善、全面的服務。
資安政策、組織與目標
成立永續發展暨資安委員會
0件重大資安事故
制定3項2030年資訊安全目標
召開4次日月光投控資安管理分組會議
資安實施與防護
運作1式日月光投控資安管理平台系統
25個廠區進行NIST資安成熟度評估
5個廠區進行紅隊演練
每月提供 BitSight 安全評級報告
7個廠區進行OT資安健診
依據 NIST CSF 與 ISO 27001 架構進行內部稽核
每年2次資安災難復原演練
147,289人次資安教育訓練
89,371小時資安教育訓練時數
持續投保資安險
96家供應商資安評鑑
資安認證
日月光半導體高雄廠、中壢廠、上海材料廠、韓國廠、矽品與環電南投廠取得 ISMS 資訊安全管理系統 ISO 27001 認證
日月光半導體高雄廠、矽品與環電南投廠取得BCMS營運持續管理系統ISO 22301認證
日月光半導體高雄廠取得IEC 62443-2-1認證
日月光半導體高雄廠、中壢廠、新加坡廠取得ISO 15408安全認證EAL6最高等級