台湾光罩建立完整的资讯安全管理制度,并严格遵循ISO 27001资讯安全管理体系的要求,针对公司资讯安全管理制度实施范围内之重要资讯资产采取适当保护措施。透过年度资安管理审查会,有效的评估客户对资产的机密性、完整性与可用性的期望,使各项业务能顺利且安全的执行,提供客户优良服务并满足其需求。
致力于提供可信赖的资讯安全作业环境,维护资讯系统及资料之合法利用,满足客户需求,保证公司重要服务的持续运作,达成公司资讯安全管理目标。 光罩集团对客户机密资料的保管责任、保密合约,承诺不得以任何方式将机密资讯揭露予任何第三人。
资讯管理部
台湾光罩完成 ISO 27001 资讯安全管理系统第四次年度稽核验证评鉴 。
执行 2024 年度资讯安全防护计画,针对资安议题进行改善作业 ■网路安全:网路升级、社交工程演练、渗透测试 ■系统安全:定期弱点扫描、EOS 电脑汰换、WSUS电脑系统更新 ■应用程式安全:端点防护监控及合法软体政策更新、旧版防毒升级作业、内外部ERP管控 ■资料加密及身分验证:资安凭证(SSL 凭证)更新、密码强化政策 ■实体安全:监视器系统整合中控室建置、工厂三叉门建置、机房机柜强化 ■备分计画:落实备分 321 原则,确保有效性,预防勒索病毒
新设双因子认证机制、密码强化政策、工厂连线限制防火墙导入、监视系统扩置与中控室新建、内外部EDR管控机制导入、工厂进出三叉门建置、摄影功能设备管制、网路A10升级、机房机柜强化
光罩集团 | ||
|---|---|---|
2023年度设立目标 | 2024年度实绩 | 未来目标 |
短期目标 (2025年) | ||
| 控制业务(资讯)服务,发生资料遭不当揭露事故 0 件 |
|
|
| 资料被窜改或未经授权存取事故 0 件 |
|
|
| 資訊基礎設施可用性達 99.83% |
99.84% |
|
| 资讯基础设施可用性达 99.83% |
99.99% |
|
| 帐号密码设定符合规定达99.99% |
99.99% |
|
| 控制安全区域经媒体揭露之资讯安全事故0件 |
|
|
-
资讯安全渗透测试
与中华电信合作进行资讯安全渗透测试,以评估公司内部网路环境的安全性定位系统弱点,针对漏洞进行修补和资安优化,进而稳固整体资讯安全系统。渗透测试的目的在于模拟骇客及恶意使用者的思维,试图攻破企业网站、资讯系统或设备等软体,分析测试目标的风险层级,评估安全性是否有待加强。此次测试系统为PowerBI-SQL (Vrfab),以远端/黑箱作业方式执行,执行结果发现3个风险漏洞,包括1个中度风险漏洞和2个低度风险漏洞,无高度风险漏洞。
-
资讯安全管理措施管理办法制定及年度稽核
秉持着「提供可信赖的资讯安全作业环境,维护资讯系统及资料之合法利用,确保公司服务持续正常运作,达成公司资讯安全管理目标。」的资安核心方针,致力于保护客户的资讯隐私及公司的运营安全。 每年定期完成ISO/IEC 27001:2013资讯安全管理系统国际标准年度稽核和验证。 2022年至2024年间,并未发现任何违反资讯安全法规或客户隐私投诉事件。
确保资讯安全管理制度的有效运行,台湾光罩制定了一系列规范、作业程序以及审核机制。每年至少进行一次内部资安稽核及第三方外部审核,并进行资安弱点扫描,识别及改善高风险项目,定期进行灾难演练,确保在突发事件中紧急应变方案能够有效发挥作用。
台湾光罩除加入台湾电脑网路危机处理暨协调中心(TWCERT/ CC),并制定资讯安全防护计画。为有效因应异常事件的发生,遵循资安事故管理程序,开立资安异常矫正单,透过每月资安会议与各部门交流,收集客户反馈和使用者需求以便持续改进。 为了迅速解决资讯安全事故并降低造成之影响,台湾光罩建立了资安事故管理程序,专门用于记录、处理和管理这些事件。透过定期进行风险评估,针对高风险服务制定并实施适当的矫正和预防措施,以降低风险的发生概率或减少其影响。此外,每年召开管理审查会议,对资讯安全管理制度的运行情况进行审查,评估和改进各类文件的维护和运作状况。
落实资安分级制度 ■一般性(Security P):非机密等级之管制资讯,但属于本公司所持有或拥有之资讯或财产。 ■管制性(Security C):对本公司业务或技术上有价值之资讯资料,未经授权而揭露,会影响本公司或第三人之营业运作或企业形象遭受立即或直接损害。 ■机密性(Security B):对本公司业务或技术具有重要价值之资讯资料,未经授权而揭露,会影响本公司或第三人之营业运作或企业形象遭受立即或直接损害。 ■极机密性(Security A):对本公司业务或技术具有决定性价值之资讯资料,未经授权而揭露,会影响本公司或第三人之营业运作或企业形象遭受立即或直接损害。
-
资讯安全事件处理
为了有效记录、处理和管理资讯安全事故,以及迅速减少事故影响,台湾光罩订有重大资安事故标准通报程序。当发生资讯安全事件时处理流程包括:识别和记录事故、分类和评估事故的严重性、通报相关部门并展开处理,对事故发生原因进行检讨并制定预防措施。在处理和追踪这些事件时,须先确保事故已被妥善解决,然后深入分析其发生原因,从而降低类似事件再次发生的可能性。
当资讯管理部发现疑似资讯安全事故时,会立即通知资讯系统负责人协助判断。若确认为资讯安全事故,资讯管理部将迅速透过系统通知部门管理者,并要求在指定期限内完成处理和回覆。资安工作小组在接到通报后,会利用线上签核系统对事故进行管制和追踪。若遇到重大资讯安全事故,则需在两小时内通报,依照上市上柜公司资讯安全管理指引,由资安长对外发布相关重大讯息。
資訊環境安全
台灣光罩致力於維護資訊環境之安全,為提供客戶優良服務並滿足其需求, 透過年度資安管理審查會有效的評估客戶對資產機密性、完整性與可用性的期望, 以達成資訊安全管理目標「在合於法令、法規與合約要求條件下, 確保資訊資產的機密性、完整性與可用性,提供持續可用之服務。」, 同時確保各項業務能順利且安全的執行。
資安管理政策「提供可信賴的資訊安全作業環境,維護資訊系統及資料之合法利用,確保公司服務持續正常運作,達成公司資訊安全管理目標。」,確保客戶資訊與隱私以及永續營運。
加入臺灣電腦網路危機處理暨協調中心(TWCERT/CC),另訂定資訊安全防護計畫,每年由資訊管理部執行及檢討。
為宣導台灣光罩對資訊安全之重視及目標,所有新進員工將進行一小時的資安訓練並通過測驗,2022年所有員工已完成一小時的的資安教育訓練,達成率為100%且測驗正確率達90%以上。
為保護客戶資訊,採用加密儲存且存放於高管制區,且所有訪客、廠商進入廠區須由權責單位陪同,若有攝影功能之裝置需在鏡頭貼上禁止拍照貼紙,另外,隨身碟、外接硬碟、手機等周邊媒體裝置,未經授權不可界接到本公司網路和資訊設備。為防範資料遺失、損毀等風險,台灣光罩訂定備份321原則,其原則為,資料備份3份,使用 2 種以上不同的備份媒介,其中 1 份備份要存放異地 。
台灣光罩產品多數為依照客戶需求設計的客製化產品,台灣光罩取得資訊安全管理系統國際標準 ISO/IEC 27001認證。作業主機皆設有防火牆、網段區隔以及防毒系統等必要安全防護措施,且依據存取管制政策,客戶相關之系統及機敏資料,非授權人員無法使用。2020年至2022年間皆未發生過違反客戶隱私之投訴或事件。