104
目前，鑒於合格的後援供應商取得日趨不易，台積公司 已廣泛地採取與主要原物料供應商提早進行品質管理及 產能擴充的準備，以面對任何無預警地快速量產需求， 避免因時間不足而無法重新安排生產流程的情況。在先 進製程方面，台積公司需要的原物料，不只是以世界級 的製程在世界級的工廠製造，品質要求也是世界級的。 同時，為了有效管理供應鏈風險，台積公司除了加強供 應商的現場稽核與會議共識，更進而延伸管理上游供應 鏈。此外，因應新世代產品急劇升降的產能需求，台積 公司亦持續改善庫存監控系統，提高需求預測的準確 度，以確保供應鏈維持足夠庫存水位。台積公司訂定了 一套供應鏈風險評估，要求關鍵供應商在勞工、道德、 環境、安全與衛生及持續營運計劃方面必須符合標準， 為使供應商充分對其供應鏈負責，台積公司會定期現場 稽核，對於違反法規或造成環境影響以及永續績效不符 台積公司要求者，可能會導致減少或終止合作關係。
● 設備
設備的市場經常是來自有限的供應商與供給，且交貨時 間冗長，因此台積公司的營運成長及產能的持續擴充計 劃，皆仰賴能否自有限的供應商中得到足量的設備及相 關服務。在特定供應商或業界，機台的採購前置期可能 長達六個月或更久。為了優化供應鏈管理，台積公司將 視需要與供應商共同訂定各種商業模式及針對突發事件 進行風險管理，以縮短機台採購前置期。除此之外，次 世代的微影技術等設備越趨複雜，若因技術無法及時發 展而延遲設備與相關零組件的取得，將影響台積公司即 時掌握高時間敏感性的商機，同時亦會增加設備與零件 的採購成本。若台積公司無法以合理價格及時取得所需 設備以滿足客戶對技術及產品產能的需求，將可能對財 務及營運造成負面影響。
資訊技術安全之風險及管理措施
台積公司訂有資訊技術安全政策，為公司資訊及電腦系 統建立與維持一個安全的環境。此外，台積公司也建立 了一套符合 ISO 27001 資訊安全管理系統，具備正式 的資訊安全風險評估及管理流程。即使台積公司已建立 上述政策、流程、與許多其他資安防護措施，但無法保 證其控管或維持公司製造營運及會計等重要企業功能之 電腦系統能完全避免來自任何第三方癱瘓系統的網路攻 擊。這些網路攻擊以非法方式入侵台積公司的內部網路 系統，進行破壞公司之營運及損及公司商譽等活動。在
遭受嚴重網路攻擊的情況下，台積公司的系統可能會失 去公司重要的資料，生產線也可能因受攻擊的問題未解 決而停擺。台積公司透過持續檢視和評估其網路安全規 章及程序，以確保其適當性和有效性，但不能保證公司 在瞬息萬變的網路安全威脅中不受推陳出新的風險和攻 擊所影響。網路攻擊也可能企圖竊取公司的營業祕密及 其他機密資訊，例如客戶或其他利害關係人的專有資訊 以及台積公司員工的個資。
惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟 體導入台積公司的網路系統，以干擾公司的營運、以重 新取得電腦系統控制權對台積公司進行勒索，或窺探機 密資訊。這些攻擊可能導致公司因延誤或中斷訂單而需 賠償客戶的損失 或需擔負龐大的費用實施補救和改進 措施，以加強公司的網路安全系統 也可能使台積公司 因涉入公司對其有保密義務之員工、客戶或第三方資訊 外洩而導致的相關法律案件或監管調查，而承擔重大法 律責任。
台積公司也可能因購買及安裝內含惡意軟體的設備而遭 受攻擊。台積公司於民國一百零七年八月受到電腦病毒 感染，影響台灣廠區部分電腦系統及廠房機台，致相關 晶圓生產亦受波及。此次病毒感染的原因為內含台積公 司未知的惡意軟體之新機台在台積員工安裝的過程中操 作失誤。台積公司網路防火牆亦未能有效地防止病毒擴 散。雖然資料的完整性和機密資訊皆未受到影響，此次 電腦病毒感染造成出貨延誤，本公司已於一百零七年第 三季認列電腦病毒感染相關損失新台幣 25 億 9 600 萬 元(美金 8 500 萬元)，帳列營業成本項下。台積公司 已採取改善措施，例如實施自動化系統以防止安裝無保 護的機台 強化網路防火牆與網路控管以防止電腦病毒 跨機台及跨廠區擴散 進一步改進台積公司惡意軟體防 護的措施也已在進行中。台積公司已額外編列適當的預 算強化資訊技術安全，但仍無法保證公司免於惡意軟體 的攻擊。
此外，台積公司需要分享高度敏感及機密的資訊給部分 其雇用提供台積公司及其全球關係企業服務的第三方廠 商，以使其能提供相關服務。儘管台積公司在和第三方 服務廠商簽訂之服務合約中，要求其遵守保密及 / 或網 路安全規定，但不能保證每個第三方服務廠商都將嚴守 這些義務。由上述服務廠商及/或其承攬商所維護的內