资讯安全管理

资讯安全风险管理架构

台光电子以资讯安全管理的三大原则「机密性、完整性、可用性」订立《资讯安全管理办法》，除了提供台光集团整体业务持续运作的资讯环境，并建置管理制度与标准程序，目的为达成符合相关法规要求，并免于遭受各种不当使用、洩漏、窜改、窃取、破坏等资安事故威胁，降低可能危害。

台光电子公司、台光(昆山)公司、中山台光公司、台光(黄石)公司均设有资通安全处理小组，由总经理担任召集人，组员包含各部门主管及资通安全通报网联络人员。

台光依据美国国家标准暨技术研究院（NIST）评估企业资安防禦现况与目标，採用网路安全框架(Cybersecurity Framework, CSF) 作为资讯安全政策规划，目的在降低营运关键基础设施安全风险。为保护公司及客户商业机密安全，妥善检视并强化公司与客户往来资讯的管理措施，依据资安管理技术的辨识、保护、侦测、回应与復原五大构面，落实资讯安全管理制度。

辨识：资安治理、资讯资产盘点
保护：身分验证与存取控制、端点装置防护、网路安全防护、资料安全防护、应用服务保护
侦测：端点及网路行为侦测、资安技术检测与弱点管理、网路威胁情资运用
回应：资通安全事件通报与应变机制、资安事件分析与矫正规划
復原：备份机制、备援计划、营运持续规划与演练

资讯安全机制

为保护公司及客户商业机密安全，将资料进行分级分类管理，妥善检视并强化公司与客户往来资讯的管理措施，对存取网路、电脑与人员进行权限控管，台光制定了三大资安重点管理目标：

资讯设备安全管理：
定期依据信息安全管理制度国际标准ISO27001：2022进行信息资产盘点、资产风险鉴别及建立风险处理计划，建置企业数据不落地架构、落实档案权限管理、系统事件管理系统 (SIEM) 日志监控、双因子认证(MFA)强化验证机制及数据安全保护等管理作法，并每半年进行一次备份还原演练，确保事件或灾难发生时快速恢复运作，降低潜在风险、减少事件和灾难带来的损失。2025年度共进行4次备援演练，分别于台光电子公司、台光(昆山)公司、中山台光公司、台光(黄石)公司进行演练，包含跨厂重要设备、服务切换与备份数据复原验证。
网路与防毒管理：
为防范网路攻击与因应恶意入侵行为，设置次世代防火牆、入侵防禦系统、进阶威胁防护系统、端点进阶侦测与防护、导入工控场域、产线系统网路安全监控及主机深度防禦系统以阻挡零时差系统漏洞等攻击行为，并持续取得外部威胁情资及结合现有资安系统判定外部恶意攻击行为进行自动化行为侦测与阻挡，每月透过系统弱扫工具扫瞄并针对系统弱点进行修补，并使用网路资安风险管理系统持续进行台光网路资安风险评估。同时定期委託外部专业资讯安全专家进行渗透测试等资讯安全强化工作，全面性找出资安防护上的盲点，建立安全作业环境，确保永续经营。
员工资讯安全教育训练：
除新进同仁皆需接受信息安全倡导外，本公司不定期实施信息安全倡导及训练，并进行社交工程演练邮件，以强化同仁对客户隐私与机密信息的意识，以加强信息安全重要性的观念。

资安事件通报流程及事件

当发生信息安全事件时，公司同仁应依据《信息安全事故管理作业程序》，向信息最高主管进行通报，权责单位并依照该事件进行判定、分类与分级，以立即采取相因应的控制措施，并在最短的期间内处理该资安事件，2023年至2025年，台光皆未违反信息安全相关法规，未发生任何信息安全事件。

近三年资安事件管理执行情形	2023年	2024年	2025年
违反信息安全事件总数	0	0	0
遭受黑客入侵安全事件总数	0	0	0
受资安事件所影响的客户总数	0	0	0
违反资安／网络安全事件相关的罚款总额	0	0	0

具体管理方案

本公司实体及环境安全、网络及计算机安全、系统访问控制、系统的永续运作、资安倡导与教育训练等均有依作业规范确实执行。公司稽核室为信息安全监理之督导单位，由稽核室负责督导内部资安执行状况，定期查核如有发现缺失，由权责单位提出相关改善计划与具体作为，且定期追踪改善成效，以降低内部资安风险。另为强化本公司信息安全风险管理，于2025年12月23日已将年度资安持续改善项目提报董事会，确保公司持续经营。

本公司资安专责单位，包含资安主管一名与资安人员一名，每月定期召开资安政策与实施细节检讨会议。