資訊安全管理 | 公司治理 | 永續經營 | 華碩永續網站, 華碩永續目標

資訊安全管理組織與管理政策

烏俄戰爭爆發之後造成全球網路駭客攻擊事件激增，駭客攻擊手法層出不窮，其全球供應鏈亦受影響，華碩面臨許多外部挑戰，也為資安管理及產品安全管理帶來前所未有的衝擊。華碩於 2020 年 5 月成立資訊安全委員會並由副董事長及共同執行長監督管理，2021 年 9 月指派集團資安長及成立資安專責單位，除了持續推動 ISO/IEC 27001 ISMS (Information Security Management System) 管理系統符合國際標準程序之外，也因應歐盟 GDPR (General Data Protection Regulation) 法規，確保在個人資料之蒐集、處理及利用符合法規框架要求，同時整合內部現有資源進行跨部門、跨功能之溝通、資源、持續以「建構數位韌性，提升品牌信任；追求卓越，安全同行」作為組織資安願景，成為我們集團子公司、供應商、供應鏈合作夥伴之強力奧援。

2022 年資訊安全管理成果

資安治理

透過資安月例會，針對企業資訊安全、產品安全、全球資安威脅、供應鏈安全，等議題進行分享與討論，邀請 7 大關鍵供應商最佳資安實務經驗分享。並與集團內重要 11 間子公司資安聯防，提升集團資安防護能力。

資安推動

執行資安事故調查與改善防護暨回應演練作業，評估集團的資安防禦程度。並參照行政院國家資通安全會報標準做為演練目標，執行社交工程演練，防範商業電子郵件詐騙。推動全球在職與新進員工資安通識訓練，完成 18 種語言課程版本。不定期加強宣導集團資訊安全十大守則，對於違反規定的員工進行正式郵件提醒並要求改善，及提報部門最高主管做為員工個人工作績效評估依據之項目。

數位韌性

2021 年成立「高科技資安聯盟」，透過聯盟定期交流，共同提升防禦能力。2022 年成立跨產業「台灣資安主管聯盟」，提升國內產業資安韌性，強化產品安全開發，相關 Open Source 檢測機制導入至研發單位，制定政策公告實施，並針對研發團隊舉辦 Open Source SSDLC & License 教育訓練。

自 2019 年開始，已執行超過 12 次以上業務營運持續計畫暨演練及搭配不同業務流程與情境，皆符合內部制定之 RTO (Recovery Time Objective)、RPO (Recovery Point Objective)、MTPD (Maximum Tolerable Period of Disruption) 要求，並確保能於事前之日常完整預備、事中應變處置與事後的重建能力。

風險管理

關注各項數位安全風險，協助公司內部相關單位導入並實施 BCM 風險評鑑、風險管理、危機處理計畫及掌握各項演練實施狀況。提升維運與監控團隊資安事件回應與處理速度。

個人資料保護委員會

為持續推動全球消費者與華碩員工個人資料的保護管理，華碩於 2012 年 4 月依最高經營管理階層指示成立「個人資料保護與資訊資產安全委員會」，制定華碩使用個人資料之公司政策及處理相關事務。因應法令變動及組織調整，2018 年將上述委員會調整為「個人資料保護委員會」（下稱個資委員會）並增修原公司政策為「General Personal Data Protection Policy」於華碩集團內部施行，包含使用華碩產品及服務（如：華碩的電腦、軟體、官方網站、客戶支援服務等，作為在蒐集、處理、利用個人資料之指引；對外亦於官網公佈「隱私權保護政策」以讓一般大眾及消費者知悉華碩對其個人資料的保護及管理。

為確保落實公司政策，個資委員會目前運作以每雙週定期會議執行並檢視年度工作，並透過不定期臨時會議機動調整執行方式及處理個資相關事件，直至 2022 年底已召開 296 次定期會議。