資訊安全管理

資訊安全管理組織與管理政策

COVID-19 疫情期間，新興技術層出不窮，並塑造出全新的工作場域，但這也為資訊管理及產品安全帶來前所未有的挑戰。為應對日益嚴峻的挑戰及強化企業永續經營，華碩成立資安管理委員會並由 CEO 監督管理。資安管理委員會推動 ISO 27001 管理系統，建立符合國際標準的管理程序，規劃、執行及檢討內部的資安活動，驗證各項活動及其相關結果，以符合資訊安全管理系統之目標要求。

奠定於此基礎，2021 年 9 月華碩設立資訊安全長（Chief Information Security Officer, CISO）及成立新的專責單位：數位安全處。投入資訊安全與產品安全的完整規劃與推動，以「建構數位韌性，提升品牌信任；追求卓越，安全同行」作為組織資安願景，成為我們集團子公司、供應商、供應鏈合作夥伴之強力奧援。

3 大管理領域

專注於企業內部及外部供應鏈之資訊安全管理、風險、合規性等治理議題
即時進行內、外部資訊作業環境安全威脅監測與當事故發生之應變處置作為
推動產品安全工程，強化華碩所銷售之產品與服務資訊安全

2021 年資訊安全管理成果

建立居家辦公安全機制

使用高安全性設備、多重認證機制、定期審核授權狀況
強化員工遠距在家辦公的資訊系統服務與網路安全連線安全性

持續提升員工資安素養

不定期向公司同仁發送資安守則
實施全體員工資訊安全教育訓練與每年定期複訓，完成率已達 100 %

資安防護演練

防範商業電子郵件詐騙，進行全年度共計 8 次社交工程演練
執行資安防護防禦暨回應演練作業，評估集團的資安防護程度，及早部署防禦重點

產品元件組成分析

導入 Open Source 及第三方元件組成分析工具，管理開源軟體使用狀況，提升產品安全及合規性
在最短時間內獲得安全修正建議與問題即時處理

異地備援切換演練

執行營運核心資訊系統之持續營運能力的異地備援切換演練，確保公司因資訊系統異常造成營運中斷的風險降至最低

事件 / 違規

資安防護演練，2021 年度在企業內部違反資安規則之事件數呈現逐月下降

個人資料保護委員會

為持續推動全球消費者與華碩員工個人資料的保護管理，華碩於 2012 年 4 月依最高經營管理階層指示成立「個人資料保護與資訊資產安全委員會」，制定華碩使用個人資料之公司政策及處理相關事務。因應法令變動及組織調整，2018 年將上述委員會調整為「個人資料保護委員會」（下稱個資委員會）並增修原公司政策為「General Personal Data Protection Policy」於華碩集團內部施行，包含使用華碩產品及服務（如：華碩的電腦、軟體、官方網站、客戶支援服務等，作為在蒐集、處理、利用個人資料之指引；對外亦於官網公佈「隱私權保護政策」以讓一般大眾及消費者知悉華碩對其個人資料的保護及管理。

為確保落實公司政策，個資委員會目前運作以每雙週定期會議執行並檢視年度工作，並透過不定期臨時會議機動調整執行方式及處理個資相關事件，直至 2021 年底已召開 270 次定期會議。