風險管理

聯電深知網路攻擊不僅可能使公司暴露於資料外洩及勒索風險外，更可能面臨生產系統中斷而造成嚴重營運損失，影響企業的優良商譽。面對外部日新月異且多樣化的威脅，企業資安強化刻不容緩，如何運用有限資源，正確應對多變環境是一項重要的任務。

「企業資訊安全委員會」負責執行聯電資訊作業安全管理規劃，建置與維護資訊安全管理體系，由徐爵民獨立董事督導資訊安全及網路安全策略。徐獨董曾任科技部部長及台灣雲端物聯網產業協會理事長，於任內領導多項資安專案，包括行政院國家資通安全會報擔任副召集人及物聯網資安 SIG 發起及成立計畫。

並由管理數位功能之吳宗賢資深副總經理擔任資訊安全長，負責建立和維護資訊安全及網路安全策略與其流程，以保護公司資財。

為了有效應對不斷演變的資訊安全威脅，聯電制定並實施以下政策，打造更安全的數位環境，全面保障公司資訊安全。

1. 建立符合法規、國際標準與客戶需求之資訊安全管理系統，持續改善資訊安全防護措施；
2. 塑造資訊安全文化，提升全員安全意識，確保每位同仁都能理解自身的責任並積極參與資訊安全實踐；
3. 保護公司與客戶資訊的機密性、完整性與可用性；
4. 實施多層防禦措施，實時監控並即時回應資訊安全威脅，提供安全的生產環境；
5. 強化資訊安全事件應變計畫及流程，確保公司業務之永續營運；
6. 重視供應鏈資訊安全，要求第三方（供應商）符合資訊安全標準。

增進網路、端點及應用安全，提升異常行為偵測與防護能力。透過多層防禦措施，及早發現並阻擋潛在的網路攻擊活動，優化整體資訊系統的安全性與穩定性。

定期進行資安系統測試，針對潛在風險進行補強。建立網路安全事件應變計畫，並進行營運持續應變演練，確保在事件發生時，能迅速啟動通報及復原機制，降低對營運的影響。

建立完整的資訊安全管理系統，並符合資訊安全相關的ISO 15408、ISO 27001等國際標準，透過計劃-執行-檢查-行動（PDCA）循環，以及年度的複審作業，不斷地進行持續改善資訊安全管理流程。

遵循資訊分級制度、「僅知原則（need to know）」及「最小權限（least privilege）」等原則，確保資訊的機密性、完整性及可用性。資訊管理涵蓋整個生命週期，從建立、使用到處置，均在適當授權下執行，防止資訊外洩或其他可能損害。

投保資安險作為應對資安威脅的風險管理解決方案之一，保護公司於發生網路攻擊時，能將潛在損失降至最小的範圍。

推動全員資安教育訓練與不定期社交工程釣魚測試，確保每位同仁充分了解資訊安全的重要性，並在日常業務中落實資安相關規範。

所有供應商均需遵守與配合聯電資安規定，達成供應鏈資安防護目標。聯電亦參與資安聯防組織，共同為資訊安全防禦貢獻力量，善盡企業捍衛資安的責任。