一、資通安全風險管理架構
為確保公司資訊安全管理制度之資訊安全責任,落實資訊安全政策之推行,本公司遵循「公開發行公司建立內部控制制度處理準則」第9條之1之要求,設置資安專責單位,包含資安專責主管及專責人員。負責資訊安全管理、規劃、督導及推動執行,針對風險評估或特定議題,如有需要,另行召集相關單位,包括法務、稽核、人力資源、研發單位、等共同研議,並定期向董事會報告資安執行結果。
二、資訊安全政策
企業資訊安全組織為有效落實資安管理,依據規劃、執行、查核與行動 (Plan-Do-Check-Act, PDCA) 的管理循環機制,檢視資訊安全適用性與保護措施,並定期回報執行成效。
1. 規劃階段 :
著重資安風險管理,建立完整的資訊安全管理系統 (Information Security Management System, ISMS),從系統面、技術面、程序面降低企業資安威脅,建立最高規格的機密資訊保護服務。
2. 執行階段 :
建構多層資安防護,持續導入資安防禦創新技術,將資安控制機制整合內化於軟硬體為運、供應商資安管理等平日作業流程,系統化監控資訊安全,維護本公司重要資產的機密性、完整性及可用性。
3. 查核階段 :
積極監控資安管理成效,依據查核結果進行資安指標衡量,並透過定期模擬演練資安攻擊,進行資訊安全成熟度評鑑。
4. 行動階段 :
以檢討與持續改善為本,落實監督、稽核,確保資安規範持續有效。
二、資訊安全政策聲明
為了使本公司ISMS(資訊安全管理系統)能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特頒布資通安全管理政策。
本政策旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資通安全管理政策,以確保本公司所有職員、資料、資訊系統、設備及網路之安全維運,並期許全體同仁均能了解、實施與維持,以達資訊持續營運的目標。
~落實主動防禦,捍衛創新研發成果~
晶宏半導體視「技術創新」為競爭力之本。我們秉持「主動防禦」之核心價值,致力於在威脅發生前識別潛在弱點。於 IC 設計、研發及製造流程中,我們將嚴格執行存取控制與資料保護措施,確保核心智慧財產與客戶交付之機密資訊受到最高規格的保護,防止未經授權的存取與洩漏,實踐「做正確事、一次做好」的使命。
~強化資安韌性,確保持續營運承諾~
面對全球化威脅,我們以「資安韌性」為營運基石。除嚴格遵守「營業秘密法」、「資通安全管理法」及客戶合約規範外,我們承諾建立具備快速偵測、應變與恢復能力的防護體系。無論面對何種資安事件或災害,晶宏半導體將確保核心業務與客戶服務之持續運作,以符合國際標準的資安管理體系,贏得客戶的長期信賴。
四、 具體管理方案
|
項目 |
管理方案 |
|
網路安全 |
(1) 強化網路防火牆與網路控管,防止電腦病毒跨機及跨區擴散。 |
|
|
(2) 依據網路服務需要區隔獨立的邏輯網域 (如 DMZ),並針對不同作業環 境建立適當之資安防護措施。 |
|
裝置安全 |
(1) 建置端點防毒措施,強化惡意軟體行為偵測。 |
|
|
(2) 建置端點資安監控措施,偵測並警示非法連線之風險及意圖。 |
|
|
(3) 留意安全漏洞通知,即時修補高風險漏洞。 |
|
帳號與權限管理 |
(1) 特權帳號需得申請核准後方可使用。 |
|
|
(2) 定期審查特權帳號、使用者帳號及權限,停用久未使用之帳號。 |
|
|
(3) 外部連線之 VPN 採多重認證機制。 |
|
|
(4) 多次登入失敗鎖定機制。 |
|
|
(5) 建立通行密碼管理之規定,包含預設密碼、密碼長度、複雜度、有效期 限等。 |
|
資料安全 |
(1) 針對機敏性資料之處理及儲存建立防護措施,如: 實體隔離、專用電腦 作業環境、存取權限、資料加密等。 |
|
|
(2) 機敏性資料之本地、異地備份以及備援機制。 |
|
資安監控與維護 |
(1) 機敏性資料異常讀取之警示。 |
|
|
(2) 內網異常連線之監控警示。 |
|
|
(3) DMZ攻擊警示,包含WWW、DNS、FTP、Mail等。 |
|
|
(4) VPN 攻擊警示。 |
|
|
(5) 帳號密碼攻擊警示。 |
|
教育訓練與宣導 |
(1) 加強員工對郵件社交工程攻擊之警覺性。 |
|
|
(2) 定期舉辦資安教育訓練及宣導,提升員工資安意識。 |
五、 投入資通安全管理之資源
1. 本公司於2025年度用於資訊安全相關設施維護與改善投入約新台幣220萬元,且於2022 年8月設置資安主管及1名資安人員。
2. 2025年度舉辦一場實體資安講習課程,取得2張資訊相關證照,資安電腦相關課程共計 216人次。