議題對組織重要性

台灣光罩為落實 ISO 27001 資訊安全管理體系的要求,建立公司資訊安全管理制度,對公司資訊安全管理制度實施範圍內之重要資訊資產採取適當保護措施,透過年度資安管理審查會有效性的評估客戶對資產的機密性、完整性與可用性的期望,使各項業務能順利且安全的執行,提供客戶優良服務並滿足其需求。

政策與承諾

提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,滿足客戶需求,保證公司重要服務的持續運作,達成公司資訊安全管理目標。 台灣光罩對客戶機密資料的保管責任,保密合約,不得以任何方式將機密資訊揭露予任何第三人。

負責單位

資訊管理部

資源

  • 2020年取得資訊安全管理系統國際標準 ISO/IEC 27001:2013認證。

  • 2020年成立規劃資訊安全管理制度改善活動、建立與維護資訊安全管理制度、實作資訊安全管理制度。

  • 2021年完成ISO 27001 資訊安全管理系統第一次年度稽核驗證評鑑、IP Guard端點防護導入、O365 RMS管理導入、Event log管制及擬定2022年度資訊安全防護計畫。

申訴機制

短中長期目標
本公司資訊安全管理目標短期目標中長期目標
控制業務(資訊)服務,發生資料遭不當揭露事故00
資料竄改或未經授權取得事故00
資訊基礎設施可用性99.78%99.99%
資訊系統與資料備份生成分執行率99.99%99.99%
帳號密碼設定符合規定99.99%99.99%
控制安全區域經媒體揭露之資訊安全事故00
營運持續維運計畫演練3次3次
非計劃性之營運中斷時間之管理目標00
2023年行動方案與績效
  1. 完成ISO 27001 資訊安全管理系統第三次年度稽核驗證評鑑

  2. 執行2023年度資訊安全防護計畫,針對資安議題進行改善作業

    • 網路安全:網路升級、社交工程演練、IPS導入

    • 系統安全:定期弱點掃描、滲透測試、EOS伺服器汰換

    • 應用程式安全:端點防護監控及合法軟體政策更新、舊版防毒升級作業

    • 資料加密及身分驗證:資安憑證(SSL憑證)更新

    • 備分計畫:落實備分321原則,確保有效性,預防勒索病毒

  3. 擬定2024年度資訊安全防護計畫

資訊環境安全

台灣光罩致力於維護資訊環境之安全,為提供客戶優良服務並滿足其需求,
透過年度資安管理審查會有效的評估客戶對資產機密性、完整性與可用性的期望,
以達成資訊安全管理目標「在合於法令、法規與合約要求條件下,
確保資訊資產的機密性、完整性與可用性,提供持續可用之服務。」,
同時確保各項業務能順利且安全的執行。
資訊環境安全

資安管理政策「提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,確保公司服務持續正常運作,達成公司資訊安全管理目標。」,確保客戶資訊與隱私以及永續營運。

加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC),另訂定資訊安全防護計畫,每年由資訊管理部執行及檢討。

為宣導台灣光罩對資訊安全之重視及目標,所有新進員工將進行一小時的資安訓練並通過測驗,2022年所有員工已完成一小時的的資安教育訓練,達成率為100%且測驗正確率達90%以上。

為保護客戶資訊,採用加密儲存且存放於高管制區,且所有訪客、廠商進入廠區須由權責單位陪同,若有攝影功能之裝置需在鏡頭貼上禁止拍照貼紙,另外,隨身碟、外接硬碟、手機等周邊媒體裝置,未經授權不可介接到本公司網路和資訊設備。為防範資料遺失、損毀等風險,台灣光罩訂定備份321原則,其原則為,資料備份3份,使用 2 種以上不同的備份媒介,其中 1 份備份要存放異地 。

台灣光罩產品多數為依照客戶需求設計的客製化產品,台灣光罩取得資訊安全管理系統國際標準 ISO/IEC 27001認證。作業主機皆設有防火牆、網段區隔以及防毒系統等必要安全防護措施,且依據存取管制政策,客戶相關之系統及機敏資料,非授權人員無法使用。2020年至2022年間皆未發生過違反客戶隱私之投訴或事件。