資訊安全管理 | 公司治理 | 永續經營 | 華碩永續網站, 華碩永續目標

公司治理

資訊安全管理組織與管理願景

近年各國政府和行業監管力度增加，企業需要更加嚴格地遵守相應法規和標準。華碩持續重視風險評估和管理，加強內部控制和外部合作，提升員工的資訊安全意識，並持續關注新興科技和威脅的發展，以應對不斷變化的資訊安全挑戰。華碩致力提升資訊安全治理，全面導入ISO 27001 資安管理、ISO 27701 隱私資訊管理、ISO 27017 雲端服務資訊安全控制與ISO 27018 公有雲個人資料保護。在產品研發流程，採用國際（Secure Software Development Life Cycle, SSDLC）及（Secure Hardware Development Life Cycle,SHDLC）最佳實務，提升整體數位營運韌性。

華碩於2020 年5 月成立資訊安全委員會，制定華碩集團資訊安全政策，由董事長監督管理。並於隔年2021 年9 月設立資訊安全長（Chief Information Security Officer,CISO）及成立資訊安全專責單位 - 數位安全中心（Digital Security Center），投入資訊安全與產品安全的完整規劃與推動。以「建構數位韌性，提升品牌信任；追求卓越，安全同行」作為組織資安願景，成為集團子公司、客戶、供應鏈合作夥伴之強力支援。每年由資訊安全長（CISO）於董事會對集團資安風險及推動成果進行報告。

華碩數位安全中心四大管理領域：

專注於企業內部及外部供應鏈之資訊安全管理、風險、合規性等治理議題
即時進行內、外部資訊作業環境安全威脅監測與當事故發生之應變處置作為
推動產品安全工程，強化華碩所銷售之產品與服務資訊安全
華碩所使用各項雲端服務或生成式人工智慧平台與工具應用等，評估其組態設定與架構設計風險，強化相關安全管控措施。

四大行動主軸與方針

2024年資訊安全管理成果

資安治理

資訊安全委員會積極推動資訊安全管理制度，建立符合國際標準的管理程序，規劃、執行及檢討內部的資安活動，並定期辦理內部稽核與外部驗證各項活動，以確保資訊安全管理制度的持續有效性與符合性。

資安推動

執行資安事故調查與改善防護暨回應演練作業，評估集團的資安防禦程度。並參照行政院國家資通安全會報標準做為演練目標，執行社交工程演練，防範商業電子郵件詐騙。推動全球在職與新進員工資安通識訓練，完成 18 種語言課程版本。定期/不定期宣導集團資訊安全十大守則，並納入資安年度複訓與新人訓的必要宣導內容，以強化資訊安全人人有責的意識。若發生危及公司資安之事件，同仁可透過資訊安全信箱進行通報，受理單位為資安應變團隊，該團隊成員涵蓋數位安全中心、各單位資安幹事、法務及公關等部門，以確保事件能得到全面且即時的處理。

數位韌性

2021年成立「高科技資安聯盟」，透過聯盟定期交流，共同提升防禦能力。2022年成立跨產業「台灣資安主管聯盟」，提升產業資安韌性。強化產品安全開發，相關Open Source檢測機制導入至研發單位，制定政策公告實施，並針對研發團隊舉辦Open Source SSDLC & License教育訓練。2023年投入重要資訊基礎建設，高速網路與計算中心－「台灣杉四號」超級電腦建置案，確保重要算力平台符合資通安全A級防護等級。

風險管理

關注各項數位安全風險，協助公司內部相關單位辦理營運持續演練管理活動，並實施 BCM 風險評鑑、風險管理、營運持續計畫及掌握各項演練實施狀況，以利提升組織的整體應變能力，降低風險，確保維運與監控團隊資安事件回應與處理的有效性。

個人資料保護委員會

為持續推動全球消費者與華碩員工個人資料的保護管理，華碩於 2012 年 4 月依最高經營管理階層指示成立「個人資料保護與資訊資產安全委員會」，制定華碩使用個人資料之公司政策及處理相關事務。因應法令變動及組織調整，2018 年將上述委員會調整為「個人資料保護委員會」（下稱個資委員會）並增修原公司政策為「General Personal Data Protection Policy」於華碩集團內部施行，包含使用華碩產品及服務（如：華碩的電腦、軟體、官方網站、客戶支援服務等，作為在蒐集、處理、利用個人資料之指引；對外亦於官網公佈「隱私權保護政策」以讓一般大眾及消費者知悉華碩對其個人資料的保護及管理。

為確保落實公司政策，個資委員會目前運作以每雙週定期會議執行並檢視年度工作，並透過不定期臨時會議機動調整執行方式及處理個資相關事件，累積至 2024 年底已召開 358 次定期會議。