資訊安全管理

Information Safety

資訊安全管理措施

華邦訂有「資訊安全政策」、「技術與機密資料管理辦法」，規範保護公司機密資訊，包含商業秘密、智慧財產，確保客戶隱私受到完善的保護，為了全面提升華邦的資訊安全管理制度，於2020 年申請ISO 27001 資訊安全管理系統，並於2021 年2 月通過驗證，涵蓋中科廠、竹北大樓的資訊機房、資訊系統及應用系統，並預計在 2022 年，進行高雄廠的延伸驗證。此外，華邦也於2021 年導入雲端資訊安全檢測工具(Security Score Card, SSC)，針對華邦所有提供對外的服務，進行非侵入式的即時弱點偵測，於2021 年4 月初步導入至2021 年底，通過不斷的修正改善，分數由71 分(C 級) 上升至96 分(A 級)，也同步導入其他相關資訊安全應用，全面提升華邦的資訊安全完整度。

ISO 27001資訊安全管理系統
	華邦電子於2020 年依據ISO 27001 資訊安全管理系統管理架構，盤點各個單位的資訊資產進行風險評估、整合所有之內部控制制度及既有規範文件、建立完整的資安環境，符合所有規範要求，於2021 年2 月取得外部單位驗證，並持續追求資訊安全的三個最主要目標：
	機密性(confidentiality) ‒ 資料 完整性(integrity) ‒ 資料與系統 可取用性(availability) ‒ 系統服務

華邦依據「資訊安全政策」執行程序，由相關部門指派代表組成資訊安全組織，負責公司的資訊安全管制作業，包括研議、建置、推動與稽核。定期召開會議，針對資訊安全相關議題進行討論與決議，範圍涵蓋人力資源、實體安全、資訊與邏輯安全等面向；當有重大變革或資訊安全事件發生，將加開臨時會議。每年透過教育訓練與內部公告持續向同仁進行資訊安全相關的宣導與溝通，以落實資訊安全政策，並針對資料保護每半年進行一次演練，將系統切換至備援系統後，進行存取測試。此外，針對公司重要產品資訊安全需要，加強門禁管制與監控、資訊系統存取權限管理與存取紀錄保存與審查，嚴格管制人員進出與資料存取，避免公司資訊遭不當存取、竄改，並防範營業秘密與智慧財產遭竊或外洩。

資訊安全處理流程

2021 年資訊安全管理績效

供應商資安管理

華邦透過內部資訊安全制度管理，針對供應商的隱私保護管理採用權限設定，並將實體文件存放於採購單位統一管理。另一方面對於外部供應商資訊安全管理，皆於訂單上檢附資訊安全條款，要求合作的供應商簽署，供應商需於年度稽核填寫資訊安全管理自評表，並由華邦資訊安全部門審查內容，每兩年實地稽核供應商，2021 年10 家外部供應商資訊安全年度稽核皆已完成，全數通過。

供應商資安條款簽訂
2021 年  供應商資訊安全條款 簽核率 100%	供應商交付產品不應有影響華邦營運的資安疑慮，如病毒(Virus)、後門(Back Door) 或木馬程式(Trojan Horse) 等。 提供必要的修正程式與安全更新，以確認無資安漏洞。 發生資安事件應提供快速有效的解決方案，研擬改善及預防措施以將損失降到最低的程度。

客戶隱私保護

華邦嚴格控管客戶相關資訊，與客戶往來之文件、資料等商業資訊均由華邦內部高度防護系統所保存。對於內部相關人員作業權限之核准與開放，均依照相關作業規範及程序辦理。自2013 年起，華邦同仁每年均須通過「資訊安全認知」課程訓練。為保護研發與生產資料的安全，竹北大樓員工之個人手機需要註冊並安裝相機管理APP 關閉相機，禁止於公司內拍照攝影；晶圓廠、測試廠出入口，安裝金屬偵測門，以管制資訊裝置進出產線；透過AI 技術，以人臉辨識方式管理承攬商進出廠區，以確保公司達到保護客戶隱私及防範營業秘密與智慧財產權遭竊或外洩，並於2021 年2 月取得ISO 27001 資訊安全管理系統認證，建立更完善的資訊安全防護制度。

歐盟《一般資料保護規範》(General Data Protection Regulation, GDPR) 自2018 年5 月份生效，華邦已依據GDPR 要求進行相關調整，修改公司網站並重新檢視網站會員資料，以符合GDPR 規範。GDPR 相關規定亦已納入個人資料保護法線上課程，2021年度調訓2,742 人次，完訓2,742 人，全數通過。

2021 年華邦無侵犯客戶隱私或遺失客戶資料之投訴事件，亦無因違反產品責任之相關法規而被罰款之情事。