kv-bg

資安管理

tri_cover

資安政策、組織與目標

伴隨日月光投控智慧製造技術發展,本公司從公司治理角度出發,訂立「日月光投控資訊安全政策」作為最高管理依據,確保公司重要資訊財產之機密性、完整性及可用性,符合相關法規與規範要求,進而獲得客戶信賴、提升公司競爭優勢,確保營運與重要業務的永續運作。日月光投控並依相關法令與營運目標進行資訊安全風險評估,讓董事會與高階管理階層定期瞭解當前資訊安全議題和公司資安現況,做為設立資訊安全指導方向、策略與目標依據之一。

同時由張洪本副董事長擔任資安專責董事,並於本公司永續發展委員會下成立「日月光投控資安管理分組」,綜理投控整體資安策略發展與資安成熟成度評量對標,主責整體資安風險管理、督導各子公司資安管理運作、協調溝通內外部技術資源與情資,以期提升全部資安能量降低資安威脅與風險。資安管理分組設置資安長(CISO)一職,主責指示日月光投控資安風險管理架構、定期溝通檢討各子公司資安管理方案與事件應變,並於每年第四季向董事會報告資安治理情況。

pic-information-security-management-1-ch

資訊安全是企業營運的根本,日月光投控一直以來重視資安管理、不僅鑑別內外部資安相關風險與制定因應對策、並於2019年開始執行所有廠區的NIST CSF資安成熟度評量,持續推動國內外廠區網路安全規劃和改善方案,以提升資安不同面向的能量與整體成熟度,防止與降低資安事件所帶來的衝擊。同時,我們透過實施全體員工資安教育訓練提升員工資安意識,避免重大資安事件發生,期許不斷強化企業營運韌性,提高利害關係人信心與滿意度,達到永續營運的目標。

pic-information-security-management-2-ch

資安認證與成熟度

因應日月光投控跨世界各地、整合封裝、測試及材料等多元技術,高度整合性、相容性與彈性的資安成熟度評估模型尤為重要。日月光投控於2019年與第三方專業顧問正式導入NIST CSF成熟度評量專案,第一年以對標半導體產業與瞭解自身狀況為目標,今年(第二年)以精緻與深化各資安要求為執行方向,每一廠區透過自身成熟度評量成績與缺失建議,可進行個別化資安改善,本公司與子公司可透過成熟度評量結果,了解各集團在資安不同領域、國別、或營運上的風險,進一步資源調整與支援指導,落實我們整體企業資安管理的基礎。NIST CSF能力模型與全球開放標準結合,以風險為導向、持續運作的管理架構為核心精神,使用五大關鍵指標:辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)評鑑整體資安成熟度,目的在協助建立資安風險管理生命周期,透過對於關鍵服務的衝擊影響推動全面的網路安全規劃,並持續定期執行改進計畫。

此外,日月光投控亦透過國際資訊安全標準持續嚴格檢視與優化資安工作流程與管理措施,日月光高雄廠、中壢廠、矽品與環電已針對關鍵基礎設施持續營運所需之重要資訊系統陸續取得ISMS資訊安全管理系統 ISO 27001認證外,日月光高雄廠和矽品也為強化危機管理及災害應變的的管理機制取得BCMS營運持續管理系統ISO 22301認證,提供企業良好的防護管理框架,作為穩固資安治理的第一步,並逐步擴大驗證範圍,建立全面之資安管理系統。

pic-information-security-management-3-ch pic-information-security-management-4-ch-m

資安實施與防護

日月光投控為確保營運與重要業務的永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續的風險,我們每年定期進行兩次災難復原演練,演練計畫內容包括:演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之風險管理、演練後之檢討與改善等,確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準,以達到重要資訊系統持續營運不中斷,此演練計劃也會持續執行維護、管理與演練,以確保備援機制的有效性。日月光投控於過往3年皆未發生重大資安事件,除制定相關資安事件通報與處理流程,期保握資安事件處理時效與降低受害範圍,我們每年定期委託第三方專業單位進行資安稽核與健診,如外部稽核、弱點掃描和滲透測試,確定資訊系統和網路環境符合安全實施標準,嚴格執行資訊安全政策與客戶隱私保護措施,以保護公司商業機密及客戶資料不外洩。針對外界突發性資安攻擊,資安管理分組會即時召集平台技術交流和應變會議,分析檢討相關因應與防禦措施,建構資訊同步的完整防護網。

以公司治理角度保障公司營運風險之餘,加強同仁資安保護意識、提升組織運作能力亦為資安管理重點之一。日月光投控所有員工每年定期接受PIP資訊安全教育訓練,包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等,2020年共完成44419人次與32568小時的課程,亦不定期進行社交工程郵件演練,加強員工對於郵件社交工程攻擊的警覺性。同時,陸續導入系統化管理機制,將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒/軟體安全等資安相關項目透過系統化方式進行整合,並進行KPI監控與稽核,將管理的觸角從上到下深入到每一位員工、每一個端點裝置,得與員工的績效做整合,降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。

日月光投控不僅著眼於半導體產業與高科技製造之資安防禦技術、能力,對於資安人員培訓與儲備亦不虞餘力。2020年我們與政府單位、國內外資安組織及平台保持緊密溝通,透過資訊安全規範、標準與情資,我們將持續進行管理制度與技術的整合,全面發展、提升內部資安能量;同時,遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待,保障日月光投控智慧製造安全與競爭優勢。