104
● 設備 設備的市場經常是來自有限的供應商與供給，且交貨時 間冗長，因此台積公司的營運成長及產能的持續擴充計 劃，皆仰賴能否自有限的供應商中得到足量的設備及相 關服務。在特定供應商或業界，機台的採購前置期可能 長達六個月或更久。為了優化供應鏈管理，台積公司將 視需要與供應商共同訂定各種商業模式及針對突發事件 進行風險管理，以縮短機台的採購前置期。除此之外， 先進的微影技術等設備越趨複雜，若因技術無法及時發 展而延遲設備與相關零組件的取得，將影響台積公司即 時掌握高時間敏感性的商機，同時亦會增加設備與零件 的採購成本。若台積公司無法以合理價格及時取得所需 設備以滿足客戶對技術及產品產能的需求，將可能對財 務及營運造成負面影響。
資訊技術安全之風險及管理措施
台積公司已建立全面的網路與電腦相關資安防護措施， 但無法保證其控管或維持公司製造營運及會計等重要企 業功能之電腦系統能完全避免來自任何第三方癱瘓系統 的網路攻擊。這些網路攻擊以非法方式入侵台積公司的 內部網路系統，進行破壞公司之營運及損及公司商譽等 活動。在遭受嚴重網路攻擊的情況下，台積公司的系統 可能會失去公司重要的資料，生產線也可能因此停擺。 台積公司透過持續檢視和評估其資訊安全規章及程序， 以確保其適當性和有效性，但不能保證公司在瞬息萬變 的資訊安全威脅中不受推陳出新的風險和攻擊所影響。 網路攻擊也可能企圖竊取公司的營業祕密及其他機密資 訊，例如客戶或其他利害關係人的專有資訊以及台積公 司員工的個資。
惡意的駭客亦能試圖將電腦病毒、破壞性軟體或勒索軟 體導入台積公司的網路系統，以干擾公司的營運、對台 積公司進行敲詐或勒索，取得電腦系統控制權，或窺探 機密資訊。這些攻擊可能導致公司因延誤或中斷訂單而 需賠償客戶的損失 或需擔負龐大的費用實施補救和改 進措施，以加強公司的網路安全系統 也可能使台積公 司因涉入公司對其有保密義務之員工、客戶或第三方資 訊外洩而導致的相關法律案件或監管調查，而承擔重大 法律責任。
台積公司過去曾經因購買及安裝內含惡意軟體的設備 而遭受攻擊。面對這樣的風險，台積公司持續執行資 訊安全風險管理並落實相關改進措施，例如建置自動 化掃毒及防毒系統以防止內含惡意軟體的機台進入公 司 強化網路防火牆與網路控管以防止電腦病毒跨機 台及跨廠區擴散 依電腦類型建置端點防毒措施 開 發及部署資安監控程式以監控並警示電腦資訊安全安 全問題 加強電腦弱點掃描及軟體更新 加強釣魚郵 件偵測及員工辨識能力測試 委託外部專家執行資安 評鑑 建立一個整合的自動化資安維運平台。雖然台 積公司持續加強資訊安全防護措施，但仍無法保證公 司免於惡意軟體及駭客攻擊。
此外，台積公司需要分享高度敏感及機密的資訊給部分 其雇用提供台積公司及其全球關係企業服務的第三方廠 商，以使其能提供相關服務。儘管台積公司在和第三方 服務廠商簽訂之服務合約中，要求其遵守保密及 / 或網 路安全規定，但不能保證每個第三方服務廠商都將嚴守 這些義務。由上述服務廠商及/或其承攬商所維護的內 部網路系統及外部雲端運算網路(例如伺服器)，亦會 有遭受網路攻擊的風險。若台積公司或其服務廠商無法 及時解決這些網路攻擊所造成的技術性問題、或確保台 積公司(及屬於本公司客戶或其他第三方)的數據可信 度及可用性，或控制住公司或其服務廠商的電腦系統， 皆可能嚴重損及台積公司對客戶和其他利害關係人的承 諾，而公司營運成果、財務狀況、前景及聲譽亦可能因 此遭受重大不利影響。
有關智慧財產權之風險
台積公司得以成功地保持競爭優勢並持續成長，原因之 一是不斷強化智慧財產權組合。雖然台積公司積極地主 張及保護智慧財產權，但無法保證可以適當地防止專有 技術、軟體、營業秘密或 know-how 等智財權利被侵 害或不當使用。此外，當公司業務及營業模式拓展至新 領域時，公司無法保證可以獨立開發從事業務所需之技 術、專利、軟體、營業秘密或 know-how，或在不知情 的狀況下，不會侵害到他人之智慧財產權。因此，台積 公司可能在某種程度上需倚賴他人的技術及專利授權。 當倚賴他人授權時，公司亦難保證未來能夠以合理條件