資訊安全管理

資訊安全管理組織願景

隨著數位轉型的加速推進,雲端服務、物聯網和生成式 AI 等新興技術的應用不斷擴展,帶來了新的攻擊面。供應鏈資安風險亦不斷威脅著企業的持續運作。此外,勒索軟體和社交工程等攻擊手法持續演進,給許多組織帶來了重大損失。政府和行業的監管力度也隨之增加,企業需要更加嚴格地遵守相應法規和標準。因此,華碩持續重視風險評估和管理,加強內部控制和外部合作,提升員工的資訊安全意識,並持續關注新興技術和威脅的發展,以應對不斷變化的資訊安全挑戰。

在董事長施崇棠先生的指示下,華碩於2020 年5 月成立資訊安全委員會,由董事長施崇棠先生監督管理並給予資安策略指示,董事會成員之副董事長徐世昌先生、共同執行長許先越先生與胡書賓先生皆參與每月資訊安全月例會的會務運作,並於委員會內促進多項資安專案,包含供應鏈資安、導入ISO隱私與雲端服務資通安全管理體系、防範資安相關法規所需之內部協作機制之推動。 2021年9月設立資訊安全長(Chief Information Security Officer, CISO)及成立資訊安全專責單位 - 數位安全中心(Digital Security Center),投入資訊安全與產品安全的完整規劃與推動。以「建構數位韌性,提升品牌信任;追求卓越,安全同行」作為組織資安願景,成為集團子公司、客戶、供應鏈合作夥伴之強力支援。每年由資訊安全長(CISO)於董事會對集團資安風險及推動成果進行報告。

董事長施崇棠先生有鑑於全球資安問題日益嚴重,需要公私協力、國際合作,遂指示集團資安長與公部門長官聯絡,華碩願意扮演領頭羊的角色,後於2021年七月在TWNIC & TWCERT/CC的協助之下成立「高科技資安聯盟」,及2022年四月在台北市電腦公會的協助之下成立「台灣資安主管聯盟」,現有近190家會員,為台灣最大的以使用者為主的資安聯盟,會員年度總營收超過新台幣15兆元。

2023年資訊安全管理成果

資安治理

資訊安全委員會推動資訊安全管理制度,建立符合國際標準的管理程序,規劃、執行及檢討內部的資安活動,驗證各項活動及其相關結果,以符合資訊安全管理制度之目標要求。

資安推動

執行資安事故調查與改善防護暨回應演練作業,評估集團的資安防禦程度。並參照行政院國家資通安全會報標準做為演練目標,執行社交工程演練,防範商業電子郵件詐騙。推動全球在職與新進員工資安通識訓練,完成18種語言課程版本。不定期加強宣導集團資訊安全十大守則,對於違反規定的員工進行正式郵件提醒並要求改善,及提報部門最高主管做為員工個人工作績效評估依據之項目。

數位韌性

2021年成立「高科技資安聯盟」,透過聯盟定期交流,共同提升防禦能力。2022年成立跨產業「台灣資安主管聯盟」,提升產業資安韌性。強化產品安全開發,相關Open Source檢測機制導入至研發單位,制定政策公告實施,並針對研發團隊舉辦Open Source SSDLC & License教育訓練。2023年投入重要資訊基礎建設,高速網路與計算中心-「台灣杉四號」超級電腦建置案,確保重要算力平台符合資通安全A級防護等級。

風險管理

關注各項數位安全風險,協助公司內部相關單位導入並實施BCM風險評鑑、風險管理、危機處理計畫及掌握各項演練實施狀況。

個人資料保護委員會

為持續推動全球消費者與華碩員工個人資料的保護管理,華碩於 2012 年 4 月依最高經營管理階層指示成立「個人資料保護與資訊資產安全委員會」,制定華碩使用個人資料之公司政策及處理相關事務。因應法令變動及組織調整,2018 年將上述委員會調整為「個人資料保護委員會」(下稱個資委員會)並增修原公司政策為「General Personal Data Protection Policy」於華碩集團內部施行,包含使用華碩產品及服務(如:華碩的電腦、軟體、官方網站、客戶支援服務等,作為在蒐集、處理、利用個人資料之指引;對外亦於官網公佈「隱私權保護政策」以讓一般大眾及消費者知悉華碩對其個人資料的保護及管理。

為確保落實公司政策,個資委員會目前運作以每雙週定期會議執行並檢視年度工作,並透過不定期臨時會議機動調整執行方式及處理個資相關事件,直至2023年已召開320次定期會議。

個資委員會於 2023 年主要推動成果

盤點資料

持續檢視公司蒐集處理利用的資訊項目性質,以確認法規遵循範圍。

改善流程

因應產品或服務的更新,個資委員會分別與相關部門說明討論為遵循個資法法令規定所應調整改善的流程。

檢視隱私權政策

因應各國法令規定不同,必要時調整各國隱私權政策。

教育訓練

為確保員工了解公司政策,每年度舉辦教育訓練。2023年於總部辦公室輔以線上工具對海內外同事完成6場教育訓練。

處理當事人及主管機關的請求及詢問

個資委員會為處理當事人及主管機關的請求及詢問之統一窗口。華碩依法應於法定期間回覆當事人的請求,個資委員會會偕同相關部門處理並回覆當事人完成此法定義務。對主管機關的詢問亦會依照相同處理模式以降低法律風險。

年度內部稽核

配合公司內部查核作業,將涉及個人資料管理之業務執掌部門列入稽核範圍,藉由單位內部自評、單位檢核合作廠商的作為、及稽核員執行稽核作業,將不符合事項經由矯正措施及改善方法協助業務執掌部門或合作廠商導正,以確保落實公司政策及相關管理辦法。

個資委員會之 2024 年主要規劃

  • 因應亞太、美洲等其他國家新法,檢視並改善公司法規遵循程度。
  • 增加海外稽核及協助相關部門執行合作廠商查核。

資訊安全措施或規範

  • 確保相關業務資訊之機密性,防止敏感資訊及消費者個人資料免於因內部或外部、蓄意或意外之各種威脅與破壞,導致業務資訊遭受竄改、揭露、破壞或遺失等風險。
  • 確保相關業務資訊之完整性與可用性,以正確執行作業與各項業務,以保護所管理之資訊資產安全。