台灣光罩建立完整的資訊安全管理制度,並嚴格遵循ISO 27001資訊安全管理體系的要求,針對公司資訊安全管理制度實施範圍內之重要資訊資產採取適當保護措施。透過年度資安管理審查會,有效的評估客戶對資產的機密性、完整性與可用性的期望,使各項業務能順利且安全的執行,提供客戶優良服務並滿足其需求。
致力於提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,滿足客戶需求,保證公司重要服務的持續運作,達成公司資訊安全管理目標。 光罩集團對客戶機密資料的保管責任、保密合約,承諾不得以任何方式將機密資訊揭露予任何第三人。
資訊管理部
台灣光罩完成 ISO 27001 資訊安全管理系統第四次年度稽核驗證評鑑 。
執行 2024 年度資訊安全防護計畫,針對資安議題進行改善作業 ■網路安全:網路升級、社交工程演練、滲透測試 ■系統安全:定期弱點掃描、EOS 電腦汰換、WSUS電腦系統更新 ■應用程式安全:端點防護監控及合法軟體政策更新、舊版防毒升級作業、內外部ERP管控 ■資料加密及身分驗證:資安憑證(SSL 憑證)更新、密碼強化政策 ■實體安全:監視器系統整合中控室建置、工廠三叉門建置、機房機櫃強化 ■備分計畫:落實備分 321 原則,確保有效性,預防勒索病毒
新設雙因子認證機制、密碼強化政策、工廠連線限制防火牆導入、監視系統擴置與中控室新建、內外部EDR管控機制導入、工廠進出三叉門建置、攝影功能設備管制、網路A10升級、機房機櫃強化
光罩集團 | |||
|---|---|---|---|
2023年度設立目標 | 2024年度實績 | 未來目標 | |
短期目標 (2025年) | 中長期目標 | ||
| 控制業務(資訊)服務,發生資料遭不當揭露事故 0 件 |
|
|
|
| 資料被竄改或未經授權存取事故 0 件 |
|
|
|
| 資訊基礎設施可用性達 99.83% |
99.84% |
|
|
| 資訊系統與資料備份執行率達 99.99% |
99.99% |
|
|
| 帳號密碼設定符合規定達99.99% |
99.99% |
|
|
| 控制安全區域經媒體揭露之資訊安全事故0件 |
|
|
|
-
資訊安全滲透測試
與中華電信合作進行資訊安全滲透測試,以評估公司內部網路環境的安全性定位系統弱點,針對漏洞進行修補和資安優化,進而穩固整體資訊安全系統。滲透測試的目的在於模擬駭客及惡意使用者的思維,試圖攻破企業網站、資訊系統或設備等軟體,分析測試目標的風險層級,評估安全性是否有待加強。此次測試系統為PowerBI-SQL (Vrfab),以遠端/黑箱作業方式執行,執行結果發現3個風險漏洞,包括1個中度風險漏洞和2個低度風險漏洞,無高度風險漏洞。
-
資訊安全管理措施管理辦法制定及年度稽核
秉持著「提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,確保公司服務持續正常運作,達成公司資訊安全管理目標。」的資安核心方針,致力於保護客戶的資訊隱私及公司的運營安全。 每年定期完成ISO/IEC 27001:2013資訊安全管理系統國際標準年度稽核和驗證。2022年至2024年間,並未發現任何違反資訊安全法規或客戶隱私投訴事件。
確保資訊安全管理制度的有效運行,台灣光罩制定了一系列規範、作業程序以及審核機制。每年至少進行一次內部資安稽核及第三方外部審核,並進行資安弱點掃描,識別及改善高風險項目,定期進行災難演練,確保在突發事件中緊急應變方案能夠有效發揮作用。
台灣光罩除加入台灣電腦網路危機處理暨協調中心(TWCERT/ CC),並制定資訊安全防護計畫。為有效因應異常事件的發生,遵循資安事故管理程序,開立資安異常矯正單,透過每月資安會議與各部門交流,收集客戶反饋和使用者需求以便持續改進。 為了迅速解決資訊安全事故並降低造成之影響,台灣光罩建立了資安事故管理程序,專門用於記錄、處理和管理這些事件。透過定期進行風險評估,針對高風險服務制定並實施適當的矯正和預防措施,以降低風險的發生概率或減少其影響。此外,每年召開管理審查會議,對資訊安全管理制度的運行情況進行審查,評估和改進各類文件的維護和運作狀況。
落實資安分級制度 ■一般性(Security P):非機密等級之管制資訊,但屬於本公司所持有或擁有之資訊或財產。 ■管制性(Security C):對本公司業務或技術上有價值之資訊資料,未經授權而揭露,會影響本公司或第三人之營業運作或企業形象遭受立即或直接損害。 ■機密性(Security B):對本公司業務或技術具有重要價值之資訊資料,未經授權而揭露,會影響本公司或第三人之營業運作或企業形象遭受立即或直接損害。 ■極機密性(Security A):對本公司業務或技術具有決定性價值之資訊資料,未經授權而揭露,會影響本公司或第三人之營業運作或企業形象遭受立即或直接損害。
-
資訊安全事件處理
為了有效記錄、處理和管理資訊安全事故,以及迅速減少事故影響,台灣光罩訂有重大資安事故標準通報程序。當發生資訊安全事件時處理流程包括:識別和記錄事故、分類和評估事故的嚴重性、通報相關部門並展開處理,對事故發生原因進行檢討並制定預防措施。在處理和追蹤這些事件時,須先確保事故已被妥善解決,然後深入分析其發生原因,從而降低類似事件再次發生的可能性。
當資訊管理部發現疑似資訊安全事故時,會立即通知資訊系統負責人協助判斷。若確認為資訊安全事故,資訊管理部將迅速透過系統通知部門管理者,並要求在指定期限內完成處理和回覆。資安工作小組在接到通報後,會利用線上簽核系統對事故進行管制和追蹤。若遇到重大資訊安全事故,則需在兩小時內通報,依照上市上櫃公司資訊安全管理指引,由資安長對外發布相關重大訊息。
資訊環境安全
台灣光罩致力於維護資訊環境之安全,為提供客戶優良服務並滿足其需求, 透過年度資安管理審查會有效的評估客戶對資產機密性、完整性與可用性的期望, 以達成資訊安全管理目標「在合於法令、法規與合約要求條件下, 確保資訊資產的機密性、完整性與可用性,提供持續可用之服務。」, 同時確保各項業務能順利且安全的執行。
資安管理政策「提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,確保公司服務持續正常運作,達成公司資訊安全管理目標。」,確保客戶資訊與隱私以及永續營運。
加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC),另訂定資訊安全防護計畫,每年由資訊管理部執行及檢討。
為宣導台灣光罩對資訊安全之重視及目標,所有新進員工將進行一小時的資安訓練並通過測驗,2022年所有員工已完成一小時的的資安教育訓練,達成率為100%且測驗正確率達90%以上。
為保護客戶資訊,採用加密儲存且存放於高管制區,且所有訪客、廠商進入廠區須由權責單位陪同,若有攝影功能之裝置需在鏡頭貼上禁止拍照貼紙,另外,隨身碟、外接硬碟、手機等周邊媒體裝置,未經授權不可介接到本公司網路和資訊設備。為防範資料遺失、損毀等風險,台灣光罩訂定備份321原則,其原則為,資料備份3份,使用 2 種以上不同的備份媒介,其中 1 份備份要存放異地 。
台灣光罩產品多數為依照客戶需求設計的客製化產品,台灣光罩取得資訊安全管理系統國際標準 ISO/IEC 27001認證。作業主機皆設有防火牆、網段區隔以及防毒系統等必要安全防護措施,且依據存取管制政策,客戶相關之系統及機敏資料,非授權人員無法使用。2020年至2022年間皆未發生過違反客戶隱私之投訴或事件。