資訊安全
資訊安全管理
台灣晶技維護公司資訊安全為已任,藉由資訊安全標準與框架,檢視資訊關鍵設施及其應用,除導入ISO 27001資訊安全管理制度外,同時以資訊安全標準與框架檢視資訊關鍵設施及其應用,持續完善資通環境,強化防護與管理機制,培訓資安人才,保障持續營運無虞,以鑑別與因應衝擊。
資訊安全目標
台灣晶技為確保資訊安全目標之達成,於平時監督有效性評量之辦理情形,發生不符合事項時應立即通報並採取矯正措施,於資訊安全管理委員會中報告資訊安全目標推動情形。透過資訊安全教育訓練及宣導活動,並於主管會議中傳達資訊安全相關宣導,推廣員工資訊安全之意識與強化其對相關責任之認知
- 保護公司業務活動資訊, 避免未經授權的存取、修改與不當揭露
- 保護公司重要業務資訊處理之正確性
- 維持公司資訊化作業之高可用性
- 辦理資訊安全教育訓練, 並於主管會議中傳達資訊安全相關宣導, 推廣員工資訊安全之意識與強化其對相關責任之認知
- 實施資訊安全內部稽核制度, 確保資訊安全管理之落實執行
落實執行與資源投入
-
導入ISO27001資安管理系統
自2011年導入ISO27001資訊安全管理系統起,持續通過每年定期第三方驗證,並於2021年9月通過ISO27001資訊安全管理系統之年度驗證,截至目前為止,持續維持證書效力 -
加強內、外部資訊安全防護
應用Cyber-Defense Matrix架構規劃資安防護網,針對弱點掃描與分析、防毒、UPAS、郵件防禦,強化防火牆建構與區域防禦,避免單點失效造成全公司網路失效 -
全廠資安宣導強化危機意識
2022年導入威脅偵測與應變(MDR),並持續強化各網域防火牆、端點管理、郵件防禦必要性,同時透過資安電子報發佈(共12次) 、全廠資訊安全宣導(共4場),加強資安意識
資料保護管理
資料保護管理
台灣晶技已建置資訊安全管理系統(Information Security Management System,簡稱ISMS),成立資訊安全管理委員會,為確保本公司資訊資產之機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),建立一致且可稽核的資料安全管理制度,以符合國際標準(如ISO/IEC 27001、NIST)、歐盟一般資料保護規則《GDPR》、《個人資料保護法》及其他相關監管要求。
個人資料保護政策
本公司遵循《個人資料保護法》及相關法令,於蒐集、處理及利用個人資料時,僅限於特定目的及必要範圍,並採取適當安全維護措施,防止資料遭竊取、竄改、毀損、滅失或洩漏。所蒐集之個人資料將於蒐集目的存續期間或法令規定之期間內使用。當事人得依《個資法》行使其相關權利。
個人資料保護適用範圍
適用於集團全體員工、約聘人員、實習生、外包人員、供應商、承攬商、客戶、合作夥伴及任何接觸、處理或管理本公司資訊資產之相關人員與單位,涵蓋資訊系統、人員行為、文件資料、製程數據、圖檔規格等。
個人資料保護管理機制與措施
本公司依《個人資料保護法》、《台灣智慧財產管理規範》、《GDPR》、《ISO27001》等相關規範採行下列安全維護措施,使公司相關資料再蒐集、處理、利用時確保合規,並防止資料被竊取、竄改、毀損、滅失或洩漏,以達成資料保護的目的。
- 權責與組織:公司依《ISO27001》建立資訊安全管理系統(ISMS),並成立資訊安全管理委員會及執行/稽核小組以維護資訊安全。
- 資料蒐集、處理及利用:公司依相關規範蒐集、處理及利用各類資料。個人資料及敏感個人資料依《個資法》及《GDPR》(適用時)於必要範圍內合規處理。
- 人員管理:員工報到簽署保密及個資條款,公司合理保護個人資料;系統權限依規範辦理,離職或調職時移除或異動;並依年度計畫辦理新人訓練及資安宣導。 2025年度推行33場次資安訓練,全員100%受訓率。
- 資料鑑別與分類:公司依相關規範定期進行資料識別、分級與分類,以確保合規並採取適當保護措施。
- 資料保存年限:公司資料保存年限依相關法令、規範及客戶要求訂定,並依規定保留至適當期限。
- 安全控制措施:資訊資產採取存取控制、加密及備份復原等措施保護;文件資料由各業管單位管理,並依《個資法》及《GDPR》合規處理。
- 稽核機制:公司依相關法令與驗證要求,定期對資料保護措施進行稽核、驗證與矯正。
- 事件通報與應變:公司進行日常監控以維護資料安全,若發現疑似資安事件,將通報資訊單位判斷並採取應變措施,並依相關規範辦理。
- 法規遵循與客戶要求:本辦法將隨《個人資料保護法》、《GDPR》等法規及客戶要求變更而調整,並公告實施。
