信息安全

资讯安全风险管理架构

台光电子以资讯安全管理的三大原则「机密性、完整性、可用性」订立《资讯安全管理办法》，除了提供台光集团整体业务持续运作的资讯环境，并建置管理制度与标准程序，目的为达成符合相关法规要求，并免于遭受各种不当使用、洩漏、窜改、窃取、破坏等资安事故威胁，降低可能危害。

台光电子公司、台光(昆山)公司、中山台光公司、台光(黄石)公司均设有资通安全处理小组，由总经理担任召集人，组员包含各部门主管及资通安全通报网联络人员。

台光依据美国国家标准暨技术研究院（NIST）评估企业资安防禦现况与目标，採用网路安全框架(Cybersecurity Framework, CSF) 作为资讯安全政策规划，目的在降低营运关键基础设施安全风险。为保护公司及客户商业机密安全，妥善检视并强化公司与客户往来资讯的管理措施，依据资安管理技术的辨识、保护、侦测、回应与復原五大构面，落实资讯安全管理制度。

辨识：资安治理、资讯资产盘点
保护：身分验证与存取控制、端点装置防护、网路安全防护、资料安全防护、应用服务保护
侦测：端点及网路行为侦测、资安技术检测与弱点管理、网路威胁情资运用
回应：资通安全事件通报与应变机制、资安事件分析与矫正规划
復原：备份机制、备援计划、营运持续规划与演练

资讯安全机制

为保护公司及客户商业机密安全，将资料进行分级分类管理，妥善检视并强化公司与客户往来资讯的管理措施，对存取网路、电脑与人员进行权限控管，台光制定了三大资安重点管理目标：

资讯设备安全管理：
定期进行资讯资产盘点，建置企业资料不落地架构、落实档案权限管理、系统事件管理系统 (SIEM) 日誌监控、双因子认证(MFA)强化验证机制及资料安全保护等管理作法，并每半年进行一次备份还原演练，确保事件或灾难发生时快速恢復运作，降低潜在风险、减少事件和灾难带来的损失。2023年度共进行4次备援演练，分别于台光电子公司、台光(昆山)公司、中山台光公司、台光(黄石)公司进行演练，包含跨厂重要设备、服务切换与备份资料復原验证。
网路与防毒管理：
为防范网路攻击与因应恶意入侵行为，设置次世代防火牆、入侵防禦系统、进阶威胁防护系统、端点进阶侦测与防护、导入工控场域、产线系统网路安全监控及主机深度防禦系统以阻挡零时差系统漏洞等攻击行为，并持续取得外部威胁情资及结合现有资安系统判定外部恶意攻击行为进行自动化行为侦测与阻挡，每月透过系统弱扫工具扫瞄并针对系统弱点进行修补，并使用网路资安风险管理系统持续进行台光网路资安风险评估。同时定期委託外部专业资讯安全专家进行渗透测试等资讯安全强化工作，全面性找出资安防护上的盲点，建立安全作业环境，确保永续经营。
员工资讯安全教育训练：
除新进同仁皆需接受资讯安全宣导外，本公司不定期实施资讯安全宣导及训练，以强化同仁对客户隐私与机密资讯的意识，以加强资讯安全重要性的观念。

资安事件通报流程及事件

当发生资讯安全事件时，公司同仁应依据《台光电子资通讯安全事件通报及应变作业流程》，向资讯最高主管进行通报，权责单位并依照该事件进行判定、分类与分级，以立即採取相因应的控制措施，并在最短的期间内处理该资安事件，2021年至2023年，台光皆未违反资讯安全相关法规，未发生任何资讯安全事件。

具体管理方案

本公司实体及环境安全、网路及电脑安全、系统存取控制、系统的永续运作、资安宣导与教育训练等均有依作业规范确实执行。公司稽核室为资讯安全监理之督导单位，由稽核室负责督导内部资安执行状况，定期查核如有发现缺失，由权责单位提出相关改善计画与具体作为，且定期追踪改善成效，以降低内部资安风险。另为强化本公司资讯安全风险管理，于2023年12月20日已将年度资安持续改善项目提报董事会，确保公司持续经营。

本公司资安专责单位，包含资安主管一名与资安人员一名，每月定期召开资安政策与实施细节检讨会议。