資訊安全

資訊安全與機密資訊保護是台積公司對客戶、股東及夥伴的承諾。台積公司為強化資通安全防護及管理機制,設立資訊安全長CISO與資訊安全專責組織配置專業之人力與資源明訂資訊安全政策、管理程序及規範,發表《資訊安全宣言 》,宣示捍衛資訊安全的決心與推動資訊安全的目標—維護台積公司的市場競爭力及保障客戶與合作夥伴利益。

 台積公司資訊安全宣言

 

資訊安全治理

台積公司董事會授權審計暨風險委員會負責監督治理企業資訊安全,由具有資安領域相關背景之彼得•邦菲(Sir Peter L. Bonfield爵士擔任審計暨風險委員會主席。台積公司設有專責單位全球安全管理組織GSM並任命共同營運長辦公室資深副總經理暨副共同營運長侯永清擔任台積公司資長(CISO),負責資訊安全政策與制度之規劃、監控及管理作業成立資訊保護與風險委員會PIP & Risk Committee與資訊安全委員會(IT Security Committee)與公司資訊技術及相關單位組織協同合作強化資通安全防護及管理機制。每半年由全球安全管理組織主管向審計暨風險委員會彙報資安風險管理、全球資安風險趨勢、公司資訊安全政策、計劃與執行成效。審計委員會主席並於董事會中報告資訊安全監管與風險控制措施執行成效。

台積公司全球安全管理組織

 

資訊保護與風險委員會

台積公司成立「資訊保護與風險委員會」,由長(CISO)擔任主席,由法務、人力資源、研究發展及營運副總經理及全球安全管理組織主管擔任委員會成員,每季定期召開會議檢視及決議重要資訊安全與資訊保護政策與計畫執行,確保實現台積公司資訊安全政策目標。

資訊安全委員會

台積公司成立「資訊安全委員會(IT Security Committee」,由長(CISO)擔任主席,由資訊技術副總經理與處長及全球安全管理組織資深處長擔任委員會成員,每月定期召開會議檢視重要資訊安全政策、資訊安全風險評估與強化計畫、資訊安全指標與全球資訊安全態勢與威脅,確保達成台積公司資訊安全政策與管理目標。

 

資訊安全策略與方法

全球安全管理組織積極深化資訊安全與機密資訊保護機制以維護台積公司的競爭力。遵循國際資安標準與框架,明訂資訊安全政策、程序與規範,持續進行管理制度與技術的強化,並執行全方位的風險管控,以達到台積公司資訊安全管理的目標。全球安全管理組織定期執行資安風險評估,依據風險影響的大小、機率,以及改善風險所需成本以設定優先序,採用規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的方法,架構多層的資安防禦,並建立資訊安全關鍵績效指標。台積公司建構資訊安全管理系統Information Security Management System, ISMS,自2008年起即取得ISO 27001國際資訊安全管理認證,至今年(2024年)持續不間斷取得認證,每三年皆通過稽核及每年證書有效的持續評估訪問,其認證範圍涵蓋客戶設計資料上下游完整的保護,包含矽智財合併(IP Merge)、光罩資料處理、光罩製作、倉儲管理與相關支援資訊、以及十二吋晶圓製造的資訊技術處理流程(台南)。台積公司為協助客戶縮短安全產品認證時程,生產安全晶片廠區更持續通過ISO/IEC 15408 EAL6安全認證,認證範疇涵蓋晶圓光罩設計/製造、晶片製造、倉儲、出貨、報廢及晶片測試等階段,場域內的實體環境、資訊保護、系統運作、產品安全等皆需完善管控,達到生產安全產品與客戶機密資訊防護的最高標準,並具備隨時可接受並生產客戶高安全性產品訂單。

 

資訊安全管理與執行重點

台積公司為了預防及降低外部資安風險,落實及持續更新嚴謹的資安措施,例如建置先進的病毒掃描工具,以防止工廠安裝受病毒感染的機台;強化網路防火牆與網路控管以防止電腦病毒跨機台及跨廠區擴散;在公司電腦上 建置防毒措施及先進的惡意軟體偵測解決方案;改善資安部署時間以強化資料中心安全。並建立與定期檢討資安績效指標;導入新技術加強資料保護;加強釣魚郵件偵測並定期執行員工警覺性測試;建立一個整合的自動化資安維運平台並強化資安事件偵測與處理自動化;持續演練資安攻擊之處理程序;委託外部專家執行資安評鑑等。每年持續進行的資安執行重點如下:

  1. 網路安全控管
  2. 資產管理及資料保護
  3. 存取控制
  4. 電腦維運安全管理
  5. 人員及實體安全
  6. 應用程式安全
  7. 資安事件處理與管理
  8. 供應鏈安全
  9. 人員資安管理與教育宣導
  10.  內/外部資安評測與風險管理

資安事件處理與通報

台積公司已建置企業風險管理機制與資安事件處理標準程序,明訂相關流程與措施,包含資安事件通報程序、指派負責人員處理重大資通安全事件、評估遭受損失及進一步的必要因應措施、評估資安風險可能對公司財務與營運的影響及其因應措施。

台積公司ISO27001認證證書