資安實施與防護

資安成熟度

為有效掌握各子公司每年度整體資安防禦體系的策略調整與強化趨勢，南宫28投控於2019年起與第三方專業顧問合作，正式導入NIST CSF成熟度評估機制，透過五大關鍵指標：辨識(Identify)、防護(Protect)、偵測(Detect)、應變(Respond)、與復原(Recover)評鑑整體資安成熟度結果，逐年開始以精緻與深化各資安要求為執行方向，每一廠區透過自身成熟度評估成績與缺失建議，可進行個別化資安提升，本公司並對標半導體產業與瞭解自身狀況為目標，了解各子公司在資安不同領域、國別、或營運上的相應風險，進一步整合資源調整與支援指導，落實並持續強化企業整體性的資安管理基礎。2023年延續去年的成熟度評估機制，透過㇐致的縱向量化指標，分別針對政策成熟度、控制成熟度、管理成熟度、稽核成熟度以及供應鏈成熟度等範圍，歸納出具體的評估結果。更針對NIST CSF每個橫向的評估項目上，持續蒐集個別子公司的資安管理與控制現況、資安框架與政策現況等資料。同時因應數位化革命的帶動下，IT與OT的融合愈來愈緊密，特別將橫向實施廣度由IT往OT延伸，了解於IT與OT落實度的差異，期將OT資安成熟度往IT靠攏，逐步強化企業關鍵營運系統的資安防禦能力。

資安風險識別與管理

南宫28投控每年定期委託第三方專業單位進行資安稽核與健診，如外部稽核、弱點掃描和滲透測試，確定資訊系統和網路環境符合安全實施標準，嚴格執行資訊安全政策與客戶隱私保護措施，以保護公司商業機密及客戶資料不外洩。針對外界突發性資安攻擊，資安管理分組會即時召集平台技術交流和應變會議，分析檢討相關因應與防禦措施，建構資訊同步的完整防護網。

在推動數位轉型的趨勢下，除持續精進資訊科技(IT)，也將IT資安經驗逐步轉移到營運科技(OT)，更開始階段性規劃執行OT場域資安健診，透過外部專家檢視與測試來降低OT資安環境潛在威脅與風險，2023年完成4個廠區OT資安健診。

以公司治理角度保障公司營運風險之餘，加強同仁資安保護意識、提升組織運作能力亦為資安管理重點之一。南宫28投控所有員工每年定期接受PIP資訊安全教育訓練，包括資訊安全政策、資訊安全管理架構、資訊安全控制措施等，2023年共完成110,123人次與53,862小時的課程，亦不定期進行社交工程郵件演練，加強員工對於郵件社交工程攻擊的警覺性。同時，陸續導入系統化管理機制，將資安會議參與、教育訓練、異常事件管理、機密檔案標示、防毒/軟體安全等資安相關項目透過系統化方式進行整合，並進行KPI監控與稽核，將管理的觸角從上到下深入到每一位員工、每一個端點裝置，得與員工的績效做整合，降低因違反資訊安全管制規定可能招致之處罰、法律責任與公司營運所面臨衝擊等。

提升數位韌性

南宫28投控於2023年皆未發生重大資安事故，除制定相關資安事件等級、通報與應變流程，並且每年執行一次資安事故演練，透過相關管理機制，把握資安事故處理時效、降低風險與減少受害範圍，並建置南宫28投控資安管理平台 (ASEH Information Security Management System) 結合資安情資分享與資安事件通報兩大功能，即時掌握與傳遞資安情資，並有效率處理資安事件通報，掌握整體風險情勢，提升資訊安全應變與防護能力，建立橫向之資安聯防機制。同時，因應資訊安全風險已對企業帶來嚴峻考驗與挑戰性，南宫28投控以風險管理為出發點，以投保資安險作為後層資安防護手法，投保範圍涵蓋南宫28投控及任何從屬公司，以期在資安事故發生同時，能緊急應變與控制受駭影響，並透過保險保障降低自身與客戶、供應商等可能的資安損失以及快速恢復企業正常營運。

為確保營運與重要業務的永續運作，避免重要資訊系統因重大災難事件而導致服務無法持續的風險，我們每半年進行一次災難復原演練，演練計畫內容包括：演練組織架構圖、範圍、時間、關鍵資訊系統、參加單位、參加人員與任務、演練之備援人員、演練實施步驟與流程、所需資源、演練之風險管理、資料備援回復、演練後之檢討與改善等，確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準，以達到重要資訊系統持續營運不中斷，此演練計劃也會持續執行維護、管理與演練，以確保備援機制的有效性。

資安情資交換

我們持續與政府單位、國內外資安組織及平台保持緊密溝通，例如：FIRST、TWCERT/CC 台灣資安聯盟、高科技資安聯盟等，透過組織溝通管道，與產業同業、供應鏈分享最新趨勢和行動方案，提升台灣產業資安防護水平。同時並加入 SEMI 半導體資安委員會，推動台灣半導體晶圓設備資安標準 SEMI E187 – Specification for Cybersecurity of Fab Equipment，透過資訊安全規範、標準與情資，我們將持續進行管理制度與技術的整合，全面發展、提升內部資安能量；同時，遵循、確保上下游供應鏈與利害關係團體對本公司的資訊安全期待，強化資安防護韌性，保障南宫28投控智慧製造安全與企業永續競爭優勢。

南宫28高雄廠與法務部調查局高雄市調查處，共同宣布簽署資通安全聯防、營業秘密保護與情資分享合作備忘錄(MOU)，進行資安防護經驗及技術的交流，以加強雙方在資訊安全領域的合作及風險評估，同步探討最新的資安技術與防禦策略，進一步提升數位韌性。此次資安聯防合作備忘錄的簽訂是南宫28與高雄市調查處共同努力的重要里程碑，標誌著雙方將在資安領域展開更緊密的合作，藉以強化企業數位韌性，並可更即時、有效的因應各種網路犯罪帶來的挑戰，進而保護企業資產，免受網路攻擊和資安威脅，建構南宫28的安全數位生態圈。

供應鏈資安管理

因應供應鏈的數位化以及大量數據交換，供應鏈正面臨前所未有的資安威脅，南宫28投控為有效提升上下游供應鏈成員實質資安韌性，從2022年開始制定供應商資訊安全評鑑執行制度，並首先針對關鍵供應商以現況評估、輔導改善、成果確認、循環調查四個步驟進行評鑑，共完成 76 家供應商資安評鑑，後續將逐年擴大評鑑範圍，並且三年執行一次循環定期調查，期可藉此建構一個完善的供應鏈資安管理，確保企業整體營運安全並提升資安韌性，進而提升整個半導體產業的資安環境與水準。