资安管理｜日月光投控

资安管理

资安政策

為強化資安防護韌性與管理機制，本公司從公司治理角度出發，訂立「日月光投控资讯安全政策」作為最高管理依據，並定期進行資安事故演練、辦理員工資安教育訓練及宣導，強化全體安全意識，以確保公司重要資訊財產之機密性、完整性及可用性，符合相關法規與規範要求，進而獲得客戶信賴、提升公司競爭優勢，確保營運與重要业务的永续運作。日月光投控並依相關法令與營運目標進行資訊安全風險評估，讓董事会與高階管理階層定期瞭解當前資訊安全議題和公司資安現況，做為設立資訊安全指導方向、策略與目標之依據。

日月光投控资讯安全政策

资安管理組織

日月光投控由張洪本副董事長擔任資安專責董事，並於本公司董事会下成立永续發展暨資安委员会，委员会成員皆由本公司董事擔任。該委员会統籌日月光投控之整體資訊安全策略發展與成熟度對標評估，負責資安风险管理之整體規劃與監督，督導各子公司資訊安全管理運作，並協調整合內外部技術資源與情資，以強化資安能量、降低潛在威脅與風險。永续發展暨資安委员会設置資安長(CISO)一職，由本公司行政長暨公司治理主管兼任，主責指示日月光投控資安风险管理架構、定期溝通檢討各子公司资安管理方案與事件應變，並於每年第四季向董事会報告資安治理情況。另由本公司永续處擔任執行祕書，負責推動與執行資安相關工作，各子公司組成資安團隊，負責執行資訊安全作業。本公司每季召開一次資安團隊會議，檢視及決議公司整體資安策略，以及報告與討論日月光投控資安工作進度，並邀請外部專家分享資安趨勢與重要議題。

资安管理目標

資訊安全是企業營運的根本，日月光投控一直以來重視资安管理，不僅鑑別內外部資安相關風險與制定因應對策，並每年定期執行所有厂区的 NIST CSF 资安成熟度評估，持續推動國內外厂区網路安全規劃和改善方案，以提升資安不同面向的能量與整體成熟度，防止與降低資安事件所帶來的衝擊。同時，我們亦透過實施全體員工資安教育訓練提升員工資安意識，避免重大資安事件發生。透過有效的资安管理措施，不斷強化企業營運韌性，提高利害關係人信心與滿意度，達到永续營運的目標。

资安实施与防护

资安成熟度

為有效掌握各子公司每年度整體資安防禦體系的策略調整與強化趨勢，日月光投控於 2019 年起與第三方專業顧問合作，正式導入NIST CSF成熟度評估機制，透過五大關鍵指標：辨識(Identify)、防護(Protect)、偵測(Detect)、應變(Respond)、與復原(Recover)評鑑整體资安成熟度結果，逐年開始以精緻與深化各資安要求為執行方向，每一厂区透過自身成熟度評估成績與缺失建議，可進行個別化資安提升，本公司並對標半導體產業與瞭解自身狀況為目標，了解各子公司在資安不同領域、國別或營運上的相應風險，進一步整合資源調整與支援指導，落實並持續強化企業整體性的资安管理基礎。2024年延續去年的成熟度評估機制，委由資誠會計師事務所，透過一致的縱向量化指標，分別針對政策成熟度、控制成熟度、管理成熟度、稽核成熟度以及供應鏈成熟度等範圍，歸納出具體的評估結果，逐步強化企業關鍵營運系統的資安防禦能力。

资安风险识别与管理

日月光投控每年委託第三方專業審查單位，執行資訊安全稽核、系統弱點掃描及滲透測試（Penetration Testing），以確認資訊系統與網路環境符合安全實施標準，確保資訊安全政策與客戶隱私保護措施之落實，有效防止商業機密與客戶資料外洩。所使用之工具包含 Nessus 弱點掃描、BitSight 安全評級、SecurityScorecard 分析平台與紅隊演練（Red Team Assessment），用以檢視系統防禦能力與應變成熟度。此外，投控亦定期每月提供 BitSight 安全評級報告予各厂区參考與追蹤，強化持續改善與风险管理。

因應數位轉型趨勢，本公司除持續精進 IT(Information Technology) 領域資安防護外，亦將 IT 資安經驗延伸至 OT（Operation Technology）場域，自 2022 年起啟動 OT 資安健診計畫，透過外部專家進行檢視與測試，以降低 OT 環境潛在風險，2024 年更有7個厂区完成 OT 資安健診，逐步建立跨領域整合之資安防護體系。

除外部稽核外，亦依據 NIST CSF 與 ISO 27001 架構，針對資訊安全管理系统（ISMS）定期進行內部自我稽核，評估风险管理、控制措施與應變流程之執行成效，並將結果提報高階主管與董事会。若遭遇突發性資安攻擊，资安管理分組將即時召開平台技術交流與應變會議，分析檢討防禦策略並建構資訊同步之完整防護網。

以公司治理角度保障公司營運風險之餘，加強同仁資安保護意識、提升組織運作能力亦為资安管理重點之一。日月光投控所有員工每年定期接受PIP資訊安全教育訓練，包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等，2024年共完成147,289人次與89,371小時的課程，亦不定期進行社交工程郵件演練，加強員工對於郵件社交工程攻擊的警覺性。同時，陸續導入系統化管理機制，將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒/軟體安全等資安相關項目透過系統化方式進行整合，並進行KPI監控與稽核，將管理的觸角從上到下深入到每一位員工、每一個端點裝置，得與員工的績效做整合，降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。

提升数位韧性

日月光投控於2024年未發生重大資訊安全事件。為強化資安應變與防護能力，本公司除制定《資通安全事件通報及應變處理作業程序》，明確定義資訊安全事件的類型、等級、通報及應變機制外，亦持續執行各類資安事件演練，強化全員應變意識與處理效率。該作業程序詳訂資通安全事件的分類、應變組織之架構、事件等級判定、通報與處置程序、事件監控與收尾、後續追蹤與調查、改善措施及證據蒐集等規範，以作為全體員工統一遵循之依據。此外，日月光投控建置資訊安全管理平台系統（红领巾吃瓜 Information Security Management System），結合「資安情資分享」與「資安事件通報」兩大核心功能，能即時掌握內外部資安威脅，迅速完成事件回報與應處，全面提升風險可視性與資安聯防能力。因應資安風險對企業營運所帶來的高度挑戰，本公司亦導入风险管理思維，投保涵蓋日月光投控及所有從屬公司之資安保險，作為後層資安防護機制，期能於事件發生時迅速應變與控制衝擊，降低對公司本身、客戶及供應鏈可能造成的損失，並協助企業快速恢復正常營運。

為確保營運與重要业务的永续運作，避免重要資訊系統因重大災難事件而導致服務無法持續的風險，我們每半年進行一次災難復原演練，演練計畫內容包括：演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之风险管理、資料備援回復、演練後之檢討與改善等，確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準，以達到重要資訊系統持續營運不中斷，此演練計劃也會持續執行維護、管理與演練，以確保備援機制的有效性。

资安情资交换

我們持續與政府單位、國內外資安組織及平台保持緊密溝通，例如：FIRST、TWCERT/CC 台灣資安聯盟、高科技資安聯盟等，透過組織溝通管道，與產業同業、供應鏈分享最新趨勢和行動方案，提升台灣產業資安防護水平。同時並加入 SEMI 半導體資安委员会，推動台灣半導體晶圓設備資安標準 SEMI E187 – Specification for Cybersecurity of Fab Equipment，透過資訊安全規範、標準與情資，我們將持續進行管理制度與技術的整合，全面發展、提升內部資安能量；同時，遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待，強化資安防護韌性，保障日月光投控智慧製造安全與公司永续競爭優勢。

供應鏈资安管理

因應供應鏈的數位化以及大量數據交換，供應鏈正面臨前所未有的資安威脅，日月光投控為有效提升上下游供應鏈成員實質資安韌性，從2022年開始制定供應商資訊安全評鑑執行制度，並首先針對關鍵供應商以現況評估、輔導改善、成果確認、循環調查四個步驟進行評鑑，2024年共完成96家供应商资安评鑑，後續將逐年擴大評鑑範圍，並且三年執行一次循環定期調查，期可藉此建構一個完善的供應鏈资安管理，確保企業整體營運安全並提升資安韌性，進而提升整個半導體產業的資安環境與水準。

资安认证与资安措施推动成果

资安认证

日月光投控重視資安議題，鑑別內外部相關風險，制定與推動各項關鍵因應對策，榮獲國際資安指標認證肯定，包括ISO 27001、ISO22301、ISO15408、ISO21434、IEC 62443、GSMA等。透過企業營運持續管理與國際資訊安全等管理標準，持續嚴格檢視與優化資安工作流程與管理措施，提升企業營運韌性，全方位保障公司智慧製造安全與公司永续競爭優勢。

ISO 27001

日月光半导体高雄厂、中壢廠、上海材料廠、矽品與環電，針對關鍵基礎設施持續營運所需之重要資訊系統，持續精進並落實各項資訊安全管理，奠定穩定、厚實的IT環境基礎。

ISO 22301

日月光半导体高雄厂、矽品和環電為強化危機管理及災害應變的管理機制取得 BCMS 營運持續管理系统 ISO 22301 認證，提供企業良好的防護管理框架，作為穩固資安治理的第一步。

ISO 15408

日月光半导体高雄厂、中壢廠、新加坡廠通過安全認證EAL6最高等級，打造符合國際規範安全產品的生產環境與管理模式，並提升公司產品運送的安全管理機制，給予封裝及測試等生產製程資訊安全保證，提供給客戶更好的服務。

ISO 21434

日月光半导体高雄厂通過德國 TUV NORD 認證，成為全球第一家榮獲 ISO/SAE 21434 國際車用網路安全標準認證且 100% 符合標準的半導體封測大廠。

IEC 62443-2-1

日月光半导体高雄厂針對產線生產環境的工控安全，通過德國TUV NORD的專業評鑑，順利取得IEC 62443-2-1認證，成為台灣半導體電子業第一家榮獲此認證之企業。

GSMA

日月光半导体高雄厂通過行動通訊安全認證標準，取得 GSMA 認證，以製造商的身份，完成生產站點與流程的全面性稽核，符合 UICC 生產安全標準 (GSMA SASUP)。

资安措施投入资源与推动成果

日月光投控對內從公司治理角度出發，訂立資訊安全政策、定期進行資安事故演練、辦理員工資安教育訓練及宣導，強化全體安全意識，邀請產官學界代表，定期分享國際間的資安發展議題，提升危機敏感度。對外則積極參與國際資安組織 FIRST、TWCERT/CC台灣資安聯盟、高科技資安聯盟等，透過組織溝通管道，與產業同業、供應鏈分享最新趨勢和行動方案，提升資安防護水平。同時，透過推動認證工作接軌國際，致力降低企業資安的威脅，以確保營運的安全，與客戶及供應鏈夥伴建立長久穩固的合作關係，提供更完善、全面的服務。

2024年资安措施投入资源与推动成果

资安政策、組織與目標

成立永续發展暨資安委员会
0件重大资安事故
制定3项2030年资讯安全目标
召开4次日月光投控资安团队会议

资安实施与防护

運作1式日月光投控资安管理平台系統
25個厂区進行NIST资安成熟度評估
5個厂区進行紅隊演練
每月提供 BitSight 安全評級報告
7個厂区進行OT資安健診
依據 NIST CSF 與 ISO 27001 架構進行内部稽核
每年2次资安灾难復原演练
147,289人次资安教育训练
89,371小时资安教育训练时数
持续投保资安险
96家供应商资安评鑑

资安认证

日月光半导体高雄厂(TUV NORD)、中壢廠(TUV NORD)、上海材料廠(TUV NORD)、韓國廠(LRQA)、矽品(BSI)與环电南投厂(AMERICO)取得 ISMS 資訊安全管理系统 ISO 27001 認證
日月光半导体高雄厂(BSI)、矽品(BSI)與环电南投厂(DQS)取得BCMS營運持續管理系统ISO 22301認證
日月光半导体高雄厂取得IEC 62443-2-1認證(TUV NORD)
日月光半导体高雄厂(BSI)、中壢廠(ANSSI)、新加坡廠(BSI)取得ISO 15408安全認證EAL6最高等級

其他主题

气候领导力

走向低碳韧性

红领巾吃瓜

资安管理

资安政策

资安管理組織

资安管理目標

资安实施与防护

资安成熟度

资安风险识别与管理

提升数位韧性

资安情资交换

供應鏈资安管理

资安认证与资安措施推动成果

资安认证

ISO 27001

ISO 22301

ISO 15408

ISO 21434

IEC 62443-2-1

GSMA

资安措施投入资源与推动成果

2024年资安措施投入资源与推动成果

其他主题

气候领导力

水资源管理

人才吸引与留任

废弃物管理

组织与架构

人权管理

绿色厂房

接班传承计画

社会影响力

社区营造

对外倡议

风险管理

利害关係人沟通

公司永续政策

人才培育与发展

智慧工厂与自动化

环境管理

永续製造

多元化人力

SDGs & TIMM

永续策略

供應商永续獎專區

智财管理

商业行為与道德

供应链管理框架

供應商永续管理

责任矿物承诺

环保公益

生物多样性

法规遵循

产学教育

职业健康与安全

其他主题

责任矿物承诺

永续製造

人才培育与发展

供应链管理框架

接班传承计画

多元化人力

利害关係人沟通

环保公益

社会影响力

废弃物管理

生物多样性

公司永续政策

永续策略

智财管理

环境管理

对外倡议

人权管理

水资源管理

法规遵循

人才吸引与留任

供應商永续獎專區

风险管理

职业健康与安全

产学教育

组织与架构