組織，負責資訊安全政策的制定、實施與風險管理，並通 過定期合規性稽核加強資訊安全。企業資訊安全負責人 領導並與資訊安全任務團隊、「PIP和網路安全委員會」 以及「IT安全委員會」合作，計劃和實施安全管理活動， 並每六個月向審計委員會報告資訊安全管理的績效和有 效性，審計委員會主席並於董事會中報告資訊安全管理 執行狀況。「PIP和網路安全委員會」由資訊技術及資材 暨風險管理資深副總經理擔任主席，法務、人力資源、研 發和營運副總經理擔任委員會成員。委員會每季召開一 次會議，審查和決定資訊安全政策，以確保實現台積公 司在這方面的目標和承諾。
民國一百一十一年，台積公司任命資訊技術及資材暨風 險管理資深副總經理為資訊安全長(CISO)，負責資訊 安全風險管理，審查安全政策、程序和網路安全措施的 有效性。
企業資訊安全組織架構
5 5 5 5 2 資通安全管理策略與資源
企業資訊安全組織積極深化資訊安全與機密資訊保護機 制以維護台積公司的競爭力，更明訂資訊安全政策、程序 與指引，持續進行管理制度強化，並執行全方位的風險管 控，以達到台積公司資訊安全管理的目標。此外，企業資 訊安全組織定期執行資安風險評估，依據風險影響的大 小、機率，以及改善風險所需成本以設定優先序，採用規 劃、執行、查核與行動(Plan-Do-Check-Act PDCA)的 方法，架構多層的資安防禦，並建立資訊安全關鍵績效 指標。台積公司於民國一百一十一年投資總計超過新台 幣10億元強化資訊安全，超過500名員工負責資訊安全 相關業務，另有超過1 000名外部人員負責警勤等資安相 關工作。
5 5 5 5 3 資安事件處理與通報 台積公司已建置企業風險管理機制與資安事件處理標準
程序，明訂相關流程與措施，包含資安事件通報程序、指 派負責人員處理重大資通安全事件、評估遭受之損失及 進一步的必要因應措施、評估資安風險可能對公司財務 與營運的影響及其因應措施。民國一百一十一年及截至 年報刊印日止，台積公司無重大資安事件也沒有資安事 件造成的財務損失與營運影響。
5 6 人才資本
台積公司視員工為最重要資產，提供員工有意義的工作 內容、可以持續學習且安全又有樂趣的工作環境以及優 質的薪酬與福利，將公司打造成多元與包容的環境。同 時，也鼓勵員工在工作之外，用心經營家庭，發展興趣， 擴大社會參與，並擁有快樂人生。
5 6 1 人權政策與具體作為
台積公司深信，尊重人權和打造有尊嚴的工作環境，對 我們及供應鏈夥伴至關重要。台積公司恪守全球各營運 據點所在地法規，並維護包括正職員工、契約及臨時人 員，以及實習生在內的所有人員的人權。解決複雜供應 鏈中的人權問題是產業共同的責任，台積公司更要求我 們的供應鏈夥伴遵循相同標準。台積公司支持《聯合國
107
董事會 審計委員會 PIP和網路安全委員會 IT安全委員會 企業資訊安全組織