資訊安全管理

台光電子以資訊安全管理的三大原則「機密性、完整性、可用性」訂立《資訊安全管理辦法》，除了提供台光集團整體業務持續運作的資訊環境，並建置管理制度與標準程序，目的為達成符合相關法規要求，並免於遭受各種不當使用、洩漏、竄改、竊取、破壞等資安事故威脅，降低可能危害。

台光電子於2024年導入ISO 27001資訊安全國際標準管理制度，並取得ISO27001國際證書(有效期自2024年12月8日至2027年12月8日)，透過ISO27001資訊安全管理制度導入，符合客戶資訊安全管理制度要求，並強化資通安全事件之應變處理能力，保護公司與客戶之資產安全。

台光電子亦於2022年3月10日正式加入TWCERT資安聯盟，透過聯盟提供潛在攻擊活動、威脅偵測預警提早防範因應，並有效強化與國內外資安組織情資共享，提昇應變措施、降低資安風險。

台光電子依據美國國家標準暨技術研究院（NIST）評估企業資安防禦現況與目標，採用網路安全框架(Cybersecurity Framework, CSF) 作為資訊安全政策規劃，目的在降低營運關鍵基礎設施安全風險。

• 辨識：資安治理、資訊資產盤點
• 保護：身分驗證與存取控制、端點裝置防護、網路安全防護、資料安全防護、應用服務保護
• 偵測：端點及網路行為偵測、資安技術檢測與弱點管理、網路威脅情資運用
• 回應：資通安全事件通報與應變機制、資安事件分析與矯正規劃
• 復原：備份機制、備援計劃、營運持續規劃與演練

為保護公司及客戶商業機密安全，將資料進行分級分類管理，妥善檢視並強化公司與客戶往來資訊的管理措施，對存取網路、電腦與人員進行權限控管，台光電子制定了三大資安重點管理目標：

• 資訊設備安全管理：
  定期進行資訊資產盤點，建置企業資料不落地架構、落實檔案權限管理、系統事件管理系統 (SIEM) 日誌監控、雙因子認證(MFA)強化驗證機制及資料安全保護等管理作法，並每半年進行一次備份還原演練，確保事件或災難發生時快速恢復運作，降低潛在風險、減少事件和災難帶來的損失。2024年度共進行4次備援演練，分別於台光電子公司、台光(昆山)公司、中山台光公司、台光(黃石)公司進行演練，包含跨廠重要設備、服務切換與備份資料復原驗證。
• 網路與防毒管理：
  為防範網路攻擊與因應惡意入侵行為，設置次世代防火牆、入侵防禦系統、進階威脅防護系統、端點進階偵測與防護、導入工控場域、產線系統網路安全監控及主機深度防禦系統以阻擋零時差系統漏洞等攻擊行為，並持續取得外部威脅情資及結合現有資安系統判定外部惡意攻擊行為進行自動化行為偵測與阻擋，每月透過系統弱掃工具掃瞄並針對系統弱點進行修補，並使用網路資安風險管理系統持續進行台光網路資安風險評估。同時定期委託外部專業資訊安全專家進行滲透測試等資訊安全強化工作，全面性找出資安防護上的盲點，建立安全作業環境，確保永續經營。
• 員工資訊安全教育訓練：
  除新進同仁皆需接受資訊安全宣導外，本公司不定期實施資訊安全宣導及訓練，並進行社交工程演練郵件，以強化同仁對客戶隱私與機密資訊的意識，以加強資訊安全重要性的觀念。

當發生資訊安全事件時，公司同仁應依據《台光電子資通訊安全事件通報及應變作業流程》，向資訊最高主管進行通報，權責單位並依照該事件進行判定、分類與分級，以立即採取相因應的控制措施，並在最短的期間內處理該資安事件，2022年至2024年，台光電子皆未違反資訊安全相關法規，未發生任何資訊安全事件。

本公司實體及環境安全、網路及電腦安全、系統存取控制、系統的永續運作、資安宣導與教育訓練等均有依作業規範確實執行。公司稽核室為資訊安全監理之督導單位，由稽核室負責督導內部資安執行狀況，定期查核如有發現缺失，由權責單位提出相關改善計畫與具體作為，且定期追蹤改善成效，以降低內部資安風險。另為強化本公司資訊安全風險管理，於2024年12月23日已將年度資安持續改善項目提報董事會，確保公司持續經營。

本公司資安專責單位，包含資安主管一名與資安人員一名，每月定期召開資安政策與實施細節檢討會議。