資訊安全管理
HTC 重視資訊安全和隱私保護,認為這是每位員工的責任和使命。我們致力於確保公司的研發成果和客戶資料得到妥善保護。為此,公司已將資訊安全和個人資訊保護政策納入公司文化和核心價值觀中。同時,我們嚴格遵守各國資訊安全和隱私保護相關法規,確保在運營過程中充分遵守相關法律法規。
為有效管理個人資料及資訊系統所存在的潛在風險,HTC 不斷優化「隱私資訊管理系統」及「資訊安全管理系統」,並由法務、產品安全及資訊安全等部門,共同組成專責團隊,負責推動隱私保護和資訊安全工作。
隱私資訊管理系統
HTC 的「隱私資訊管理系統」遵循我國個人資訊保護法及其他國際隱私權保護相關法規( 例如歐盟一般資料保護規定、美國兒童線上隱私保護法、加州消費者保護法令等),並遵循ISO 27701隱私資訊管理系統相關規範,落實於員工教育訓練、產品開發設計、廠商管理、資安事故管理等方面。
為降低營運管理風險,確保營運能夠持續運作,HTC已針對重點核心基礎系統雲端化,並導入各項雲端服務,打造與時俱進的雲端工作環境,利用雲端的彈性以及高可用性等特性,進行快速佈署和當故障發生時迅速執行災難回復,有效提升工作效率。
產品資訊安全
HTC 實施了一系列措施來提升軟體產品的安全開發標準及管理機制。其中,公司採用了BSIMM(建構軟體安全成熟度管理模型)和相關安全措施來加強針對軟體產品安全開發方面的控管,要求開發團隊從產品設計階段即遵守資料安全與隱私的工程要求,更會在軟體產品推出前執行獨立審查、進行個資隱私衝擊分析、資安風險評鑑等安全控制,並導入隱私及安全審核作業流程 (包含資訊安全檢測、靜態程式碼掃描工具、 弱點掃描等自動化的工具);在產品及服務上線後,相關的開發團隊亦會使用缺陷跟蹤管理系統追蹤軟體安全漏洞的修正程式,通過持續整合流程,以確保產品及服務均符合隱私保護及資訊安全的要求。
在硬體方面,設置指紋辨識系統,降低非使用者試圖取得產品、個人機敏資訊之風險,增加使用者資訊保護的強度。此外,HTC 持續不斷地推動產品開發和隱私與資訊安全保護的教育訓練,訓練的內容除了參照各國法律與規範外,也吸收業界的最佳實例與HTC內部貢獻的經驗,強化開發單位同仁們的安全意識、專業能力和產品開發流程,讓受訓人員提升員工資安知識的同時,也能降低資安方面的風險。
HTC要求我們所有產品與服務的資料蒐集、利用、處理及儲存,均經過隱私及安全設計審核作業流程,除了確保HTC產品與服務符合業界國際資安標準,也須符合適用之法律、法規及契約的要求事項。
產品資訊安全組織架構
產品安全在組織規劃上,為了讓隱私與資訊安全政策能更有效率的落實。我們在各大開發團隊裡設置了安全聯絡窗口(security satellite)。除了推行相關政策,安全聯絡窗口對自身團隊的產品的有著高度的熟悉,更被要求參與前面提到的隱私及安全設計審核,為審核的效果帶來正面積極的意義。
在軟體的設計與開發上,HTC 製作隱私保護與安全軟體開發手冊,要求開發團隊依照手冊的指引開發產品並執行代碼審查,避免不安全甚至帶有惡意的代碼混入,確保所開發的產品符合消費者和客戶對HTC 產品在隱私與資安上的期待。
我們在隱私與資訊安全的管理不會在服務上線後或是在裝置產品的發售後結束,HTC從源頭零件採購要求供應商使用加密技術進行機敏資料及個人資料之運輸與儲存,以確保機密資訊與個人資料之安全性;在產品使用過程持續進行資訊安全管控,追蹤軟體安全漏洞的修正程式,並提供給相關的開發團隊;在售後服務系統資安管理,落實由權限人員處理相關資訊,並定期備份以確保資料的完整性及正確性。
HTC十分重視外部研究人員傳遞的資訊安全通報事件,因此我們提供專門的聯絡方式,並且設有專門的團隊對事件進行接收、判讀和風險評估,以適時做出回應;更積極主動訂閱接收由美國、台灣等政府單位、知名資安廠商、合作夥伴及供應商等派發之資安新聞和消息。此外,HTC也同樣提供內部人員適切的管道,將所觀察到或可疑的資安意外即時通報給事故因應小組,以防止或最小化可能的資訊安全事件。
