資訊安全政策
願景
成為集團內具有商業整合能力的合作夥伴與實現業務目標的關鍵推動者之一。
目的
台虹科技股份有限公司(以下簡稱本公司)為強化資訊安全管理,確保所屬之資訊與資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,達成營運持續之目標,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特制定此政策規範。
範圍
資訊安全管理涵蓋4類控制措施、93項管理事項,避免因人為疏失、蓄意或天然災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,對本公司帶來各種可能之風險及危害。管理事項如下:
-
組織控制措施 (Organizational Controls)
涵蓋資訊安全政策、資產管理、供應商安全、事件管理、營運持續、法規遵循、威脅情報與 ICT 供應鏈安全等,共 37 項控制措施。 -
人員控制措施 (People Controls)
涵蓋人員任用、職責、教育訓練與意識提升、離職管理與遠端工作等議題,共 8 項控制措施。 -
實體控制措施 (Physical Controls)
涵蓋實體與環境安全,如設施進出管制、設備保護、媒體管理、環境威脅防護及安全工作區等,共 14 項控制措施。 -
技術控制措施 (Technological Controls)
涵蓋作業安全、網路安全、加密、身分識別與存取控制、安全開發與系統維運、資料遮罩、資料消除、端點設備安全、監控活動等安全需求,共 34 項控制。
目標
在配合本公司資訊安全政策要求,考量適用之資訊安全要求事項,以及風險評鑑與風險處理之結果後制訂下列資訊安全目標:
- 保護本公司關鍵業務資訊,避免未經授權的存取。
- 維持核心資訊系統持續運作確保本公司具備可供業務持續運作之資訊環境。
- 辦理資訊安全教育訓練,推廣人員資訊安全之意識與強化其對相關責任之認知。
- 實施資訊安全內外部稽核制度,以確認系統之有效性與適用性,提升風險控管與資安成熟度,確保資訊環境持續支援業務營運。
認證
本公司資訊安全管理是依據2015年成立之無形資產安全委員會所制定的營業秘密管理政策,並遵循國際資訊安全管理架構ISO/IEC 27001之品質系統要求,持續推動資訊安全治理。透過 規劃 (Plan)-執行 (Do)-查核 (Check)-行動 (Act) 的 PDCA 改善循環,定期進行檢核、查驗與追蹤,落實資訊安全風險管理,確保資訊資產之機密性、完整性與可用性。
本公司已連續九年取得ISO/IEC 27001認證,並於 2024 年更新至最新版本 ISO/IEC 27001:2022,證書有效期至2025年11月23日,藉此提升資訊安全治理與風險管理能力。
同時,本公司已於2025年10月29日向董事會提報資訊安全管理措施,涵蓋風險管理架構、資訊安全政策及具體管理方案,充分展現公司對資訊安全的高度重視與持續承諾。