资安管理｜日月光投控

资安管理

资安政策

為強化資安防護韌性與管理機制，本公司從公司治理角度出發，訂立「日月光投控资讯安全政策」作為最高管理依據，並定期進行資安事故演練、辦理員工資安教育訓練及宣導，強化全體安全意識，以確保公司重要資訊財產之機密性、完整性及可用性，符合相關法規與規範要求，進而獲得客戶信賴、提升公司競爭優勢，確保營運與重要业务的永续運作。日月光投控並依相關法令與營運目標進行資訊安全風險評估，讓董事会與高階管理階層定期瞭解當前資訊安全議題和公司資安現況，做為設立資訊安全指導方向、策略與目標之依據。

日月光投控资讯安全政策

资安管理組織

日月光投控由張洪本副董事長擔任資安專責董事，並於本公司董事会永续發展委员会下成立「日月光投控资安管理分組」，綜理日月光投控整體資安策略發展與资安成熟度評量對標，主責整體資安风险管理、督導各子公司资安管理運作、協調溝通內外部技術資源與情資，以期提升資安能量降低資安威脅與風險。「日月光投控资安管理分組」設置資安長 (CISO) 一職，由本公司集團行政長暨公司治理主管兼任，主責指示日月光投控資安风险管理架構、定期溝通檢討各子公司资安管理方案與事件應變，並於每年第四季向董事会報告資安治理情況。另由本公司永续處擔任執行祕書負責推動與執行資安相關工作，各子公司委派資安團隊擔任分組成員，負責執行资安管理分組決議之資訊安全作業。本公司每季召開一次日月光投控资安管理分組會議，檢視及決議公司整體資安策略，以及報告討論日月光投控資安工作進度，並邀請外部專家分享資安趨勢與重要議題。

资安管理目標

資訊安全是企業營運的根本，日月光投控一直以來重視资安管理，不僅鑑別內外部資安相關風險與制定因應對策，並每年定期執行所有厂区的 NIST CSF 资安成熟度評估，持續推動國內外厂区網路安全規劃和改善方案，以提升資安不同面向的能量與整體成熟度，防止與降低資安事件所帶來的衝擊。同時，我們亦透過實施全體員工資安教育訓練提升員工資安意識，避免重大資安事件發生。透過有效的资安管理措施，不斷強化企業營運韌性，提高利害關係人信心與滿意度，達到永续營運的目標。

资安实施与防护

资安成熟度

為有效掌握各子公司每年度整體資安防禦體系的策略調整與強化趨勢，日月光投控於2019年起與第三方專業顧問合作，正式導入NIST CSF成熟度評估機制，透過五大關鍵指標：辨識(Identify)、防護(Protect)、偵測(Detect)、應變(Respond)、與復原(Recover)評鑑整體资安成熟度結果，逐年開始以精緻與深化各資安要求為執行方向，每一厂区透過自身成熟度評估成績與缺失建議，可進行個別化資安提升，本公司並對標半導體產業與瞭解自身狀況為目標，了解各子公司在資安不同領域、國別、或營運上的相應風險，進一步整合資源調整與支援指導，落實並持續強化企業整體性的资安管理基礎。2024年延續去年的成熟度評估機制，透過?致的縱向量化指標，分別針對政策成熟度、控制成熟度、管理成熟度、稽核成熟度以及供應鏈成熟度等範圍，歸納出具體的評估結果。更針對NIST CSF每個橫向的評估項目上，持續蒐集個別子公司的资安管理與控制現況、資安框架與政策現況等資料。同時因應數位化革命的帶動下，IT與OT的融合愈來愈緊密，特別將橫向實施廣度由IT往OT延伸，了解於IT與OT落實度的差異，期將OT资安成熟度往IT靠攏，逐步強化企業關鍵營運系統的資安防禦能力。

资安风险识别与管理

日月光投控每年定期委託第三方專業單位進行資安稽核與健診，如外部稽核、弱點掃描和滲透測試，確定資訊系統和網路環境符合安全實施標準，嚴格執行資訊安全政策與客戶隱私保護措施，以保護公司商業機密及客戶資料不外洩。針對外界突發性資安攻擊，资安管理分組會即時召集平台技術交流和應變會議，分析檢討相關因應與防禦措施，建構資訊同步的完整防護網。

在推動數位轉型的趨勢下，除持續精進資訊科技(IT)，也將IT資安經驗逐步轉移到營運科技(OT)，更開始階段性規劃執行OT場域資安健診，透過外部專家檢視與測試來降低OT資安環境潛在威脅與風險，2024年完成4個厂区OT資安健診。

以公司治理角度保障公司營運風險之餘，加強同仁資安保護意識、提升組織運作能力亦為资安管理重點之一。日月光投控所有員工每年定期接受PIP資訊安全教育訓練，包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等，2024年共完成139,857人次與86,472小時的課程，亦不定期進行社交工程郵件演練，加強員工對於郵件社交工程攻擊的警覺性。同時，陸續導入系統化管理機制，將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒/軟體安全等資安相關項目透過系統化方式進行整合，並進行KPI監控與稽核，將管理的觸角從上到下深入到每一位員工、每一個端點裝置，得與員工的績效做整合，降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。

提升数位韧性

日月光投控於2024年未發生重大資安事故，除制定相關資安事件等級、通報與應變流程，並且每年執行一次資安事故演練，透過相關管理機制，把握資安事故處理時效、降低風險與減少受害範圍，並建置日月光投控资安管理平台 (红领巾吃瓜 Information Security Management System) 結合資安情資分享與資安事件通報兩大功能，即時掌握與傳遞資安情資，並有效率處理資安事件通報，掌握整體風險情勢，提升資訊安全應變與防護能力，建立橫向之資安聯防機制。同時，因應資訊安全風險已對企業帶來嚴峻考驗與挑戰性，日月光投控以风险管理為出發點，以投保資安險作為後層資安防護手法，投保範圍涵蓋日月光投控及任何從屬公司，以期在資安事故發生同時，能緊急應變與控制受駭影響，並透過保險保障降低自身與客戶、供應商等可能的資安損失以及快速恢復企業正常營運。

為確保營運與重要业务的永续運作，避免重要資訊系統因重大災難事件而導致服務無法持續的風險，我們每半年進行一次災難復原演練，演練計畫內容包括：演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之风险管理、資料備援回復、演練後之檢討與改善等，確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準，以達到重要資訊系統持續營運不中斷，此演練計劃也會持續執行維護、管理與演練，以確保備援機制的有效性。

资安情资交换

我們持續與政府單位、國內外資安組織及平台保持緊密溝通，例如：FIRST、TWCERT/CC 台灣資安聯盟、高科技資安聯盟等，透過組織溝通管道，與產業同業、供應鏈分享最新趨勢和行動方案，提升台灣產業資安防護水平。同時並加入 SEMI 半導體資安委员会，推動台灣半導體晶圓設備資安標準 SEMI E187 – Specification for Cybersecurity of Fab Equipment，透過資訊安全規範、標準與情資，我們將持續進行管理制度與技術的整合，全面發展、提升內部資安能量；同時，遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待，強化資安防護韌性，保障日月光投控智慧製造安全與公司永续競爭優勢。

日月光高雄廠與法務部調查局高雄市調查處，共同宣布簽署資通安全聯防、營業秘密保護與情資分享合作備忘錄(MOU)，進行資安防護經驗及技術的交流，以加強雙方在資訊安全領域的合作及風險評估，同步探討最新的資安技術與防禦策略，進一步提升数位韧性。此次資安聯防合作備忘錄的簽訂是日月光與高雄市調查處共同努力的重要里程碑，標誌著雙方將在資安領域展開更緊密的合作，藉以強化企業數位韌性，並可更即時、有效的因應各種網路犯罪帶來的挑戰，進而保護企業資產，免受網路攻擊和資安威脅，建構日月光的安全數位生態圈。

供應鏈资安管理

因應供應鏈的數位化以及大量數據交換，供應鏈正面臨前所未有的資安威脅，日月光投控為有效提升上下游供應鏈成員實質資安韌性，從2022年開始制定供應商資訊安全評鑑執行制度，並首先針對關鍵供應商以現況評估、輔導改善、成果確認、循環調查四個步驟進行評鑑，2024年共完成96家供应商资安评鑑，後續將逐年擴大評鑑範圍，並且三年執行一次循環定期調查，期可藉此建構一個完善的供應鏈资安管理，確保企業整體營運安全並提升資安韌性，進而提升整個半導體產業的資安環境與水準。

资安认证与资安措施推动成果

资安认证

日月光投控重視資安議題，鑑別內外部相關風險，制定與推動各項關鍵因應對策，榮獲國際資安指標認證肯定，包括ISO 27001、ISO22301、ISO15408、ISO21434、IEC 62443、GSMA等。透過企業營運持續管理與國際資訊安全等管理標準，持續嚴格檢視與優化資安工作流程與管理措施，提升企業營運韌性，全方位保障公司智慧製造安全與公司永续競爭優勢。

ISO 27001

日月光半导体高雄厂、中壢廠、上海材料廠、矽品與環電，針對關鍵基礎設施持續營運所需之重要資訊系統，持續精進並落實各項資訊安全管理，奠定穩定、厚實的IT環境基礎。

ISO 22301

日月光半导体高雄厂、矽品和環電為強化危機管理及災害應變的管理機制取得 BCMS 營運持續管理系统 ISO 22301 認證，提供企業良好的防護管理框架，作為穩固資安治理的第一步。

ISO 15408

日月光半导体高雄厂、中壢廠、新加坡廠通過安全認證EAL6最高等級，打造符合國際規範安全產品的生產環境與管理模式，並提升公司產品運送的安全管理機制，給予封裝及測試等生產製程資訊安全保證，提供給客戶更好的服務。

ISO 21434

日月光半导体高雄厂通過德國 TUV NORD 認證，成為全球第一家榮獲 ISO/SAE 21434 國際車用網路安全標準認證且 100% 符合標準的半導體封測大廠。

IEC 62443-2-1

日月光半导体高雄厂針對產線生產環境的工控安全，通過德國TUV NORD的專業評鑑，順利取得IEC 62443-2-1認證，成為台灣半導體電子業第一家榮獲此認證之企業。

GSMA

日月光半导体高雄厂通過行動通訊安全認證標準，取得 GSMA 認證，以製造商的身份，完成生產站點與流程的全面性稽核，符合 UICC 生產安全標準 (GSMA SASUP)。

资安措施推动成果

日月光投控對內從公司治理角度出發，訂立資訊安全政策、定期進行資安事故演練、辦理員工資安教育訓練及宣導，強化全體安全意識，邀請產官學界代表，定期分享國際間的資安發展議題，提升危機敏感度。對外則積極參與國際資安組織 FIRST、TWCERT/CC台灣資安聯盟、高科技資安聯盟等，透過組織溝通管道，與產業同業、供應鏈分享最新趨勢和行動方案，提升資安防護水平。同時，透過推動認證工作接軌國際，致力降低企業資安的威脅，以確保營運的安全，與客戶及供應鏈夥伴建立長久穩固的合作關係，提供更完善、全面的服務。

2024年资安措施投入资源与推动成果

资安政策、組織與目標

0件重大资安事故
制定3项2025年资讯安全目标
召開4次日月光投控资安管理分組會議

资安实施与防护

運作1式日月光投控资安管理平台系統
25個厂区進行NIST资安成熟度評估
4個厂区進行OT資安健診
2次资安灾难復原演练
139,857人次资安教育训练
86,472小时资安教育训练
持续投保资安险
96家供应商资安评鑑

资安认证

11個厂区取得ISMS資訊安全管理系统ISO 27001認證
3個厂区取得BCMS營運持續管理系统ISO 22301認證
1個厂区取得IEC 62443-2-1認證
3個厂区取得ISO 15408安全認證EAL6最高等級

其他主题

社会影响力

激发正向的社会变革

红领巾吃瓜

资安管理

资安政策

资安管理組織

资安管理目標

资安实施与防护

资安成熟度

资安风险识别与管理

提升数位韧性

资安情资交换

供應鏈资安管理

资安认证与资安措施推动成果

资安认证

ISO 27001

ISO 22301

ISO 15408

ISO 21434

IEC 62443-2-1

GSMA

资安措施推动成果

2024年资安措施投入资源与推动成果

其他主题

社会影响力

环境管理

商业行為与道德

供應商永续管理

组织与架构

永续策略

供應商永续獎專區

智慧工厂与自动化

风险管理

废弃物管理

SDGs & TIMM

公司永续政策

气候领导力

产学教育

绿色厂房

职业健康与安全

对外倡议

智财管理

供应链管理框架

责任矿物承诺

环保公益

接班传承计画

利害关係人沟通

永续製造

人权管理

生物多样性

多元化人力

水资源管理

社区营造

人才吸引与留任

法规遵循

人才培育与发展

其他主题

接班传承计画

SDGs & TIMM

社会影响力

环保公益

法规遵循

智财管理

水资源管理

商业行為与道德

智慧工厂与自动化

风险管理

供应链管理框架

永续策略

气候领导力

供應商永续管理

人才吸引与留任

多元化人力

产学教育

生物多样性

职业健康与安全

人权管理

利害关係人沟通

废弃物管理

责任矿物承诺

公司永续政策

供應商永续獎專區