聯絡我們  |  網站地圖  |   繁體中文   |   English
 
永續經營     製程服務      人力資源      下載中心      關於昇陽 
 
 
永續發展
公司治理
 
 
 
 
列印此網頁 Print this page  
資訊安全政策與管理

資訊安全政策
資訊安全與機密資訊保護是昇陽半導體對客戶、股東及夥伴的承諾。昇陽半導體為強化資通安全防護及管理機制,設立資訊安全長(CISO)與資訊安全專責組織,配置專業之人力與資源,明訂資訊安全政策、管理程序及規範,發表《資訊安全宣言》,宣示捍衛資訊安全的決心與推動資訊安全的目標—維護昇陽半導體的市場競爭力及保障客戶與合作夥伴利益。

資訊安全宣言
昇陽半導體持續提供晶圓加工及晶圓薄化之卓越半導體製造服務給全球客戶並與之建立長期互惠夥伴關係之際,願意積極深化資訊安全與機密資訊保護機制,以維護昇陽半導體的市場競爭力及保障客戶與合作夥伴之利益。

資訊安全治理
昇陽半導體設有資訊安全委員會(IT Security Committee),委員會由總經理帶領法務室及資訊部,轄下分別為資訊安全小組、緊急處理小組及資訊安全稽核小組,成員共計27人,並於2023年8月3日任命法務室主管陳慈蕙擔任昇陽半導體資訊安全長(CISO),並設有資安主管一名及資安人員一名。
委員會負責資訊安全政策與制度之規劃、監控及管理作業,並與公司資訊技術及相關資訊安全單位組織協同合作,包括但不限於台灣電腦網路危機處理暨協調中心(TWCERT/CC),強化資通安全防護及管理機制。
資訊安全小組每月定期召開會議檢視及決議重要資訊安全與資訊保護政策與計畫執行狀況,每年由資安長向資訊安全委員會彙報資安風險管理、全球資安風險趨勢、公司資訊安全政策、計劃與執行成效,並於每年至少一次向董事會中報告資訊安全監管與風險控制措施執行成效。2025年共計召開12次資訊安全會議,2025年11月6日向董事會報告資訊安全執行情形,以確保實現昇陽半導體資訊安全政策目標。


昇陽半導體公司資訊安全組織

資訊安全管理與執行重點
昇陽半導體建置資訊安全管理系統(Information Security Management System, ISMS),自2023年10月起即取得ISO 27001:2022國際資訊安全管理認證,並定期通過有效持續評估審查,其認證範圍涵蓋IT維運相關的MES、SAP和BPM資訊系統和數據中心(包括新竹和中港站點)之資訊安全管理活動。
昇陽半導體透過主動聯防與教育訓練,落實資訊安全預警與全體員工意識強化:

  • 情資聯防:加入TWCERT/CC及CISO聯盟組織,以即時獲取資安情資並應變處理,2025年共獲取237件威脅情資,且達成100%確認及處理。
  • 意識強化:對員工及其相關人員之資訊安全宣導完成教育訓練至少3小時,參與人次2820位,並發布14篇文章於公司內部入口網站及公佈欄,以時事新聞宣導資訊安全實例及重要性。

為積極預防外部風險並落實嚴謹管控,持續推動以下防護措施:

  • 多重病毒防護:部署先進病毒掃描工具,以防止廠區所使用之資訊系統遭受病毒感染;並建置防毒措施及先進的惡意軟體偵測解決方案,守護終端電腦安全。
  • 通訊安全控管:強化網路防火牆與網路控管,一旦偵測異狀可限縮影響範圍,防止跨廠區擴散。
  • 遠端存取安全:定期審核VPN使用權限並稽核連線紀錄,確保遠距作業之身分驗證與傳輸安全。
  • 自動化應變:建立一個整合的自動化資安維運平台並強化資安事件偵測與處理自動化;並持續演練資安攻擊之處理程序。
  • 第三方專業評鑑:進行社交工程演練,加強釣魚郵件偵測並開立教育訓練課程,以強化員工資訊安全意識;及委託外部專家執行資安評鑑。

每年持續進行的資安執行重點如下:

  1. 網路安全控管
  2. 資產管理及資料安全
  3. 存取控制管理
  4. 電腦維運安全管理
  5. 作業安全管理
  6. 資訊系統獲取、開發及維護管理
  7. 資安事件管理
  8. 資訊供應商安全管理
  9. 人員資安管理與教育宣導
  10. 變更與組態管理
  11. 雲端服務安全管理
 
資安事件處理與通報
昇陽半導體已成立緊急處理小組與資訊安全事件管理程序,明訂相關流程與措施,包含資安事件通報程序、指派負責人員處理重大資通安全事件、評估遭受損失及進一步的必要因應措施、評估資安風險可能對公司財務與營運的影響及其因應措施。
 

  Copyright (C) Phoenix Silicon International Corporation