資訊安全政策

資訊安全政策
●目的：
台灣典範半導體股份有限公司（以下簡稱本公司）為強化資訊安全管理，確保所屬之資訊與資訊資產的機密性、完整性及可用性，以提供本公司之資訊業務持續運作之資訊環境，並符合相關法規之要求，使其免於遭受內、外部的蓄意或意外之威脅，特制定此政策規範。

●資訊安全之範圍：
(1) 人員管理及資訊安全教育訓練。
(2) 電腦系統安全管理。
(3) 網路安全管理。
(4) 系統存取管制。
(5) 系統發展及維護安全管理。
(6) 資訊資產安全管理。
(7) 實體及環境安全管理。
(8) 資訊系統永續運作計畫管理。
(9) 資訊安全稽核。

●資訊安全目標：
在配合本公司資訊安全政策要求，確保所屬之資訊與資訊資產的機密性、完整性及可用性，以提供本公司之資訊業務持續運作之資訊環境，考量適用之資訊安全要求事項，以及風險評鑑與風險處理之結果後制訂下列資訊安全政策目標：
(1)保護本公司關鍵業務資訊，避免未經授權的存取。
(2)定期評估各項人為與天然災害對本公司資訊資產之衝擊，訂定重要關鍵性資訊資產之防災對策與災難復原計劃，維持核心資訊系統持續運作確保本公司具備可供業務持續運作之資訊環境。
(3)督導本公司同仁資訊安全防護工作，建立正確資訊安全防護意識。
(4)要求本公司全體同仁以及使用本公司電腦系統之往來客戶廠商，應確實遵守本公司資訊安全相關規定，如有違反者，將受追訴相關法律責任。

●資訊安全風險管理架構：
為提升資訊安全管理，組成資訊安全管理小組，資訊部負責主導及規劃制定資訊安全管理政策，各業務相關單位配合執行，定期實施資訊安全宣導及資安稽核，以確認資訊安全管理運作之有效性。

●資訊安全具體管理方案:

風險項目	因應對策
教育訓練及宣導	定期辦理資訊安全教育訓練及宣導，建立員工資管安全認知及強化資管安全意識，登入系統的身份驗證、密碼控管、存取授權管制及定期進行更新病毒碼等稽核機制。
網路威脅	針對外部威脅，網路建立IPS、防火牆等多層次防禦，並建立防毒、郵件過濾、郵件稽核、惡意程式偵測等管控機制，以降低網路威脅。
資產管理	資管設備依規定申請出入廠、入廠之廠外設備皆依公司規範進行管制，以確認無資管外洩疑慮。
備援機制	重要服務與資料皆有建立備援與異地備份，並定期進行災害還原測試，以確保服務不中斷與資料不遺失。
存取管制	人員存取內外部系統與資料傳輸進行管制，避免資料外洩並保留行為軌跡紀錄。