Page 109 - TSMC 2022 Annual Report
P. 109

組織,負責資訊安全政策的制定、實施與風險管理,並通 過定期合規性稽核加強資訊安全。企業資訊安全負責人 領導並與資訊安全任務團隊、「PIP和網路安全委員會」 以及「IT安全委員會」合作,計劃和實施安全管理活動, 並每六個月向審計委員會報告資訊安全管理的績效和有 效性,審計委員會主席並於董事會中報告資訊安全管理 執行狀況。「PIP和網路安全委員會」由資訊技術及資材 暨風險管理資深副總經理擔任主席,法務、人力資源、研 發和營運副總經理擔任委員會成員。委員會每季召開一 次會議,審查和決定資訊安全政策,以確保實現台積公 司在這方面的目標和承諾。
民國一百一十一年,台積公司任命資訊技術及資材暨風 險管理資深副總經理為資訊安全長(CISO),負責資訊 安全風險管理,審查安全政策、程序和網路安全措施的 有效性。
企業資訊安全組織架構
5 5 5 5 2 資通安全管理策略與資源
企業資訊安全組織積極深化資訊安全與機密資訊保護機 制以維護台積公司的競爭力,更明訂資訊安全政策、程序 與指引,持續進行管理制度強化,並執行全方位的風險管 控,以達到台積公司資訊安全管理的目標。此外,企業資 訊安全組織定期執行資安風險評估,依據風險影響的大 小、機率,以及改善風險所需成本以設定優先序,採用規 劃、執行、查核與行動(Plan-Do-Check-Act PDCA)的 方法,架構多層的資安防禦,並建立資訊安全關鍵績效 指標。台積公司於民國一百一十一年投資總計超過新台 幣10億元強化資訊安全,超過500名員工負責資訊安全 相關業務,另有超過1 000名外部人員負責警勤等資安相 關工作。
5 5 5 5 3 資安事件處理與通報 台積公司已建置企業風險管理機制與資安事件處理標準
程序,明訂相關流程與措施,包含資安事件通報程序、指 派負責人員處理重大資通安全事件、評估遭受之損失及 進一步的必要因應措施、評估資安風險可能對公司財務 與營運的影響及其因應措施。民國一百一十一年及截至 年報刊印日止,台積公司無重大資安事件也沒有資安事 件造成的財務損失與營運影響。
5 6 人才資本
台積公司視員工為最重要資產,提供員工有意義的工作 內容、可以持續學習且安全又有樂趣的工作環境以及優 質的薪酬與福利,將公司打造成多元與包容的環境。同 時,也鼓勵員工在工作之外,用心經營家庭,發展興趣, 擴大社會參與,並擁有快樂人生。
5 6 1 人權政策與具體作為
台積公司深信,尊重人權和打造有尊嚴的工作環境,對 我們及供應鏈夥伴至關重要。台積公司恪守全球各營運 據點所在地法規,並維護包括正職員工、契約及臨時人 員,以及實習生在內的所有人員的人權。解決複雜供應 鏈中的人權問題是產業共同的責任,台積公司更要求我 們的供應鏈夥伴遵循相同標準。台積公司支持《聯合國
107
董事會 審計委員會 PIP和網路安全委員會 IT安全委員會 企業資訊安全組織 






















































































   107   108   109   110   111