台湾光罩为落实 ISO 27001 资讯安全管理体系的要求,建立公司资讯安全管理制度,对公司资讯安全管理制度实施范围内之重要资讯资产採取适当保护措施,透过年度资安管理审查会有效性的评估客户对资产的机密性、完整性与可用性的期望,使各项业务能顺利且安全的执行,提供客户优良服务并满足其需求。
提供可信赖的资讯安全作业环境,维护资讯系统及资料之合法利用,满足客户需求,保证公司重要服务的持续运作,达成公司资讯安全管理目标。 台湾光罩对客户机密资料的保管责任,保密合约,不得以任何方式将机密资讯揭露予任何第三人。
资讯管理部
2020年取得资讯安全管理系统国际标准 ISO/IEC 27001:2013认证。
2020年成立规划资讯安全管理制度改善活动、建立与维护资讯安全管理制度、实作资讯安全管理制度。
2021年完成ISO 27001 资讯安全管理系统第一次年度稽核验证评鑑、IP Guard端点防护导入、O365 RMS管理导入、Event log管制及拟定2022年度资讯安全防护计画。
| 本公司资讯安全管理目标 | 短期目标 | 中长期目标 |
|---|---|---|
| 控制业务(资讯)服务,发生资料遭不当揭露事故 | 0 | 0 |
| 资料被窜改或未经授权存取事故 | 0 | 0 |
| 资讯基础设施可用性 | 99.78% | 99.99% |
| 资讯系统与资料备份辈分执行率 | 99.99% | 99.99% |
| 帐号密码设定符合规定 | 99.99% | 99.99% |
| 控制安全区域经媒体揭露之资讯安全事故 | 0 | 0 |
| 营运持续维运计画演练 | 3次 | 3次 |
| 非计画性之营运中断时间之管理目标 | 0 | 0 |
-
完成ISO 27001 资讯安全管理系统第二次年度稽核验证评鑑
-
执行2022年度资讯安全防护计画,针对资安议题进行改善作业
网路安全:网路升级、社交工程演练、IPS导入
系统安全:定期弱点扫描、AD&Exchange服务升级、EOS电脑汰换
应用程式安全: 端点防护监控及合法软体政策更新、旧版防毒升级作业
资料加密及身分验证:资安凭证(SSL凭证)更新
备分计画:落实备分321原则,确保有效性,预防勒索病毒
-
拟定2023年度资讯安全防护计画
資訊環境安全
台灣光罩致力於維護資訊環境之安全,為提供客戶優良服務並滿足其需求, 透過年度資安管理審查會有效的評估客戶對資產機密性、完整性與可用性的期望, 以達成資訊安全管理目標「在合於法令、法規與合約要求條件下, 確保資訊資產的機密性、完整性與可用性,提供持續可用之服務。」, 同時確保各項業務能順利且安全的執行。
資安管理政策「提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,確保公司服務持續正常運作,達成公司資訊安全管理目標。」,確保客戶資訊與隱私以及永續營運。
加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC),另訂定資訊安全防護計畫,每年由資訊管理部執行及檢討。
為宣導台灣光罩對資訊安全之重視及目標,所有新進員工將進行一小時的資安訓練並通過測驗,2022年所有員工已完成一小時的的資安教育訓練,達成率為100%且測驗正確率達90%以上。
為保護客戶資訊,採用加密儲存且存放於高管制區,且所有訪客、廠商進入廠區須由權責單位陪同,若有攝影功能之裝置需在鏡頭貼上禁止拍照貼紙,另外,隨身碟、外接硬碟、手機等周邊媒體裝置,未經授權不可界接到本公司網路和資訊設備。為防範資料遺失、損毀等風險,台灣光罩訂定備份321原則,其原則為,資料備份3份,使用 2 種以上不同的備份媒介,其中 1 份備份要存放異地 。
台灣光罩產品多數為依照客戶需求設計的客製化產品,台灣光罩取得資訊安全管理系統國際標準 ISO/IEC 27001認證。作業主機皆設有防火牆、網段區隔以及防毒系統等必要安全防護措施,且依據存取管制政策,客戶相關之系統及機敏資料,非授權人員無法使用。2020年至2022年間皆未發生過違反客戶隱私之投訴或事件。