公司治理

資訊安全管理

資訊安全管理組織與管理願景

近年各國政府和行業監管力度增加,企業需要更加嚴格地遵守相應法規和標準。華碩持續重視風險評估和管理,加強內部控制和外部合作,提升員工的資訊安全意識,並持續關注新興科技和威脅的發展,以應對不斷變化的資訊安全挑戰。華碩致力提升資訊安全治理,全面導入 ISO 27001 資安管理、ISO 27701 隱私資訊管理、ISO 27017 雲端服務資訊安全控制與 ISO 27018 公有雲個人資料保護。在產品研發流程,採用國際(Secure Software Development Life Cycle, SSDLC)及(Secure Hardware Development Life Cycle, SHDLC)最佳實務,提升整體數位營運韌性。

華碩於2020 年5 月成立資訊安全委員會,制定華碩集團資訊安全政策,由董事長監督管理。並於隔年 2021 年9 月設立資訊安全長(Chief Information Security Officer, CISO)及成立資訊安全專責單位 - 數位安全中心(Digital Security Center),投入資訊安全與產品安全的完整規劃與推動。以「建構數位韌性,提升品牌信任;追求卓越,安全同行」作為組織資安願景,成為集團子公司、客戶、供應鏈合作夥伴之強力支援。每年由資訊安全長(CISO)於董事會對集團資安風險及推動成果進行報告。

華碩數位安全中心四大管理領域:

  1. 專注於企業內部及外部供應鏈之資訊安全管理、風險、合規性等治理議題
  2. 即時進行內、外部資訊作業環境安全威脅監測與當事故發生之應變處置作為
  3. 推動產品安全工程,強化華碩所銷售之產品與服務資訊安全
  4. 華碩所使用各項雲端服務或生成式人工智慧平台與工具應用等,評估其組態設定與架構設計風險,強化相關安全管控措施。

四大行動主軸與方針

2024年資訊安全管理成果

資安治理

資訊安全委員會積極推動資訊安全管理制度,建立符合國際標準的管理程序,規劃、執行及檢討內部的資安活動,並定期辦理內部稽核與外部驗證各項活動,以確保資訊安全管理制度的持續有效性與符合性。

資安推動

執行資安事故調查與改善防護暨回應演練作業,評估集團的資安防禦程度。並參照行政院國家資通安全會報標準做為演練目標,執行社交工程演練,防範商業電子郵件詐騙。推動全球在職與新進員工資安通識訓練,完成 18 種語言課程版本。定期/不定期宣導集團資訊安全十大守則,並納入資安年度複訓與新人訓的必要宣導內容,以強化資訊安全人人有責的意識。若發生危及公司資安之事件,同仁可透過資訊安全信箱進行通報,受理單位為資安應變團隊,該團隊成員涵蓋數位安全中心、各單位資安幹事、法務及公關等部門,以確保事件能得到全面且即時的處理。

數位韌性

2021 年成立「高科技資安聯盟」,透過聯盟定期交流,共同提升防禦能力。2022 年成立跨產業「台灣資安主管聯盟」,提升產業資安韌性。強化產品安全開發,相關 Open Source 檢測機制導入至研發單位,制定政策公告實施,並針對研發團隊舉辦 Open Source SSDLC & License 教育訓練。於 2024 年投入國家重要資訊基礎建設,除了持續進行中的國家高速網路與計算中心 – 「創進一號」超級電腦建置案,也參與「先導型 AI 運算服務平台(先導一案)」及「AI 雲端運算服務平台採購案(先導二案)」,以集團資安能量協助國家級專案在資訊安全上的防護規劃,確保國家重要算力平台符合資通安全要求之防護等級。

風險管理

關注各項數位安全風險,協助公司內部相關單位辦理營運持續演練管理活動,並實施 BCM 風險評鑑、風險管理、營運持續計畫及掌握各項演練實施狀況,以利提升組織的整體應變能力,降低風險,確保維運與監控團隊資安事件回應與處理的有效性。

個人資料保護委員會

為持續推動全球消費者與華碩員工個人資料的保護管理,華碩於 2021 年成立「個人資料保護委員會」(下稱個資委員會)。對內以「General Personal Data Protection Policy」(下 稱個資管理規定)作為華碩產品及服務(如:華碩的電腦、軟體、官方網站、客戶支援服務等)蒐集、處理、利用個人資料之指引。對外亦於官網公佈「隱私權保護政策 」以讓一般大眾及消費者知悉華碩對其個人資料的保護及管理。若華碩的合作廠商有涉及個人資料之蒐集、處理或利用行為,華碩以簽署個人資料相關契約之方式確保合作廠商遵守個人資料保護之法規要求。

為確保落實公司政策,華碩的部分服務於 2023 年度新導入 ISO 27701 隱私資訊管理、ISO 27018 公有雲個人資料保護等認證,以強化隱私系統化管理。個資委員會目前運作風險管理流程包含定期之資料盤點、改善行動、重新檢視規範完整性與教育訓練、事件發生之處理與回覆與年度內部稽核,並於定期會議執行並檢視年度工作,並透過不定期臨時會議機動調整執行方式及處理個人資料相關事件,累積至 2024 年底已召開 358 次定期會議。

個資委員會於 2024 年主要推動成果

盤點資料

持續檢視公司蒐集處理利用的資訊項目性質,以確認法規遵循範圍。

改善流程

因應產品或服務的更新,個資委員會分別與相關部門說明討論為遵循個資法法令規定所應調整改善的流程。

檢視隱私權政策

因應各國法令規定不同,必要時調整各國隱私權政策。

教育訓練

2024 年對海內外同事完成 3 場教育訓練如下:實體及線上課程:每年舉辦個資教育宣導課程供全體員工修習。

處理當事人及主管機關的請求及詢問

個資委員會為處理當事人及主管機關的請求及詢問之統一窗口。華碩依法應於法定期間回覆當事人的請求,個資委員會會偕同相關部門處理並回覆當事人完成此法定義務。對主管機關的詢問亦會依照相同處理模式以降低法律風險。

年度內部稽核

配合公司內部查核作業,將涉及個人資料管理之業務執掌部門列入稽核範圍,藉由單位內部自評、單位檢核合作廠商的作為、及稽核員執行稽核作業,將不符合事項經由矯正措施及改善方法協助業務執掌部門或合作廠商導正,以確保落實公司政策及相關管理辦法。

個資委員會之 2025 年主要規劃

  • 持續因應各國個資相關法令的調整,檢視並改善公司法規遵循程度。
  • 持續並加強對海內外單位的個資教育宣導課程及溝通,以提升其對公司個資管理規定之配合程度並深化個資管理意識。

資訊安全措施或規範

  • 確保相關業務資訊之機密性,防止敏感資訊及消費者個人資料免於因內部或外部、蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險。
  • 確保相關業務資訊之完整性與可用性,以正確執行作業與各項業務,以保護所管理之資訊資產安全。