资讯安全政策
愿景
成为集团内具有商业整合能力的合作伙伴与实现业务目标的关键推动者之一。
目的
台虹科技股份有限公司(以下简称本公司)为强化资讯安全管理,确保所属之资讯与资讯资产的机密性、完整性及可用性,以提供本公司之资讯业务持续运作之资讯环境,达成营运持续之目标,并符合相关法规之要求,使其免于遭受内、外部的蓄意或意外之威胁,特制定此政策规范。
范围
资讯安全管理涵盖4类控制措施、93项管理事项,避免因人为疏失、蓄意或天然灾害等因素,导致资料不当使用、泄漏、窜改、破坏等情事发生,对本公司带來各种可能之风险及危害。管理事项如下:
-
组织控制措施 (Organizational Controls)
涵盖资讯安全政策、资产管理、供应商安全、事件管理、营运持续、法规遵循、威胁情报与 ICT 供应链安全等,共 37 项控制措施。 -
人员控制措施 (People Controls)
涵盖人员任用、职责、教育训练与意识提升、离职管理与远端工作等议题,共 8 项控制措施。 -
实体控制措施 (Physical Controls)
涵盖实体与环境安全,如设施进出管制、设备保护、媒体管理、环境威胁防护及安全工作区等,共 14 项控制措施。 -
技术控制措施 (Technological Controls)
涵盖作业安全、网路安全、加密、身分识别与存取控制、安全开发与系统维运、资料遮罩、资料消除、端点设备安全、监控活动等安全需求,共 34 项控制。
目标
在配合本公司资讯安全政策要求,考虑适用之资讯安全要求事项,以及风险评鉴与风险处理之结果后制订下列资讯安全目标:
- 保护本公司关键业务资讯,避免未经授权的存取。
- 维持核心资讯系统持续运作确保本公司具备可供业务持续运作之资讯环境。
- 办理资讯安全教育训练,推广人员资讯安全之意识与强化其对相关责任之认知。
- 实施资讯安全内外部稽核制度,以确认系统之有效性与适用性,提升风险控管与资安成熟度,确保资讯环境持续支援业务营运。
认证
本公司资讯安全管理是依据2015年成立之无形资产安全委员会所制定的营业秘密管理政策,并遵循国际资讯安全管理架构ISO/IEC 27001之品质系统要求,持续推动资讯安全治理。透过 规划 (Plan)-执行 (Do)-查核 (Check)-行动 (Act) 的 PDCA 改善循环,定期进行检核、查验与追踪,落实资讯安全风险管理,确保资讯资产之机密性、完整性与可用性。
本公司已连续十年取得ISO/IEC 27001认证,证书有效期至2028年11月23日,借此提升资讯安全治理与风险管理能力。
同时,本公司已于2025年10月29日向董事会提报资讯安全管理措施,涵盖风险管理架构、资讯安全政策及具体管理方案,充分展现公司对资讯安全的高度重视与持续承诺。