資訊安全管理
保護公司研發成果與客戶資料,是 HTC 全體員工責無旁貸的責任與使命。HTC 為確保資訊安全及隱私保護完整納入組織文化及公司核心價值,積極建立並推動資訊安全及個人資料保護政策,以確保公司資訊、並遵循各國資安及隱私保護相關法規。
在新型冠狀病毒疫情的影響下,HTC 恪遵保護所持有之機密資訊及個人資料,並持續為 HTC、合作夥伴、客戶及消費者帶來三方共贏的利益及保護。為有效管理個人資料及資訊系統所存在的潛在風險,HTC 不斷優化「個人資料管理系統」及「資訊安全管理系統」,並由法務、產品安全及資訊安全等部門,共同組成專責團隊,來負責隱私保護暨資訊安全之推動。
個人資料管理系統
HTC 的「個人資料管理系統」遵循我國個人資料保護法、參酌所應適用其他國家之隱私權保護相關法規 (例如歐盟一般資料保護規定、美國兒童線上隱私保護法、加州消費者保護法令等),並符合ISO 27701個人資料管理系統(Personal Information Management System, PIMS) 相關規範,落實於員工教育訓練、產品開發設計、廠商管理、資安事故管理等方面。
為降低營運管理風險,確保營運能夠持續運作,HTC已針對重點核心基礎系統雲端化,並導入各項雲端服務,打造與時俱進的雲端工作環境,利用雲端的彈性以及高可用性等特性,進行快速佈署和當故障發生時迅速執行災難回復,有效提升工作效率。
產品資訊安全
HTC 產品軟體安全的控制措施
HTC 從產品設計階段即要求開發團隊遵守資料隱私工程要求,並且會提供開發團隊所需的產品開發隱私與資訊安全保護教育訓練。訓練的內容除了參照各國在這方面的法律與規範外,也吸收業界在這方面的最佳實例。同時,教材中也包含許多HTC 內部所貢獻的資訊安全知識與經驗。讓受訓人員更容易吸收並利用其中的知識。
我們要求虛擬實境系統VIVE、企業用戶虛擬實境解決方案、全球VR應用商店及內容訂閱服務平台(VIVEPORT)、5G應用、智慧型手機、VIVE Arts、VIVE Originals、DeepQ AI Platform人工智慧平台、BEATDAY全息演唱會的資料蒐集、利用、處理及儲存,均經過隱私及安全設計審核作業流程,以遵守合法公平透明原則、資料蒐集最小化原則、目的及儲存限制原則等隱私保護原則,並且確保其資料之完整性、機密性及正確性。
產品資訊安全組織架構
產品安全在組織規劃上,為了讓隱私與資訊安全政策能更有效率的落實。我們在各大開發團隊裡設置了安全聯絡窗口(security satellite)。除了推行相關政策,安全聯絡窗口對自身團隊的產品的有著高度的熟悉,更被要求參與前面提到的隱私及安全設計審核,為審核的效果帶來正面積極的意義。
在軟體的設計與開發上,HTC 製作隱私保護與安全軟體開發手冊,要求開發團隊依照手冊的指引開發產品並執行代碼審查,避免不安全甚至帶有惡意的代碼混入,確保所開發的產品符合消費者和客戶對HTC 產品在隱私與資安上的期待。
我們在隱私與資訊安全的管理不會在服務上線後或是在裝置產品的發售後結束,反而是持續進行資訊安全管控的努力。我們會追蹤軟體安全漏洞的修正程式,並將修正程式提供給相關的開發團隊。對於外部傳達給HTC的資訊安全通報事件,我們提供專門的聯絡方式給外部人員通報,並且設有專門的團隊對事件進行判讀,以適時做出回應,展現我們對消費者隱私與安全的最大誠意,將HTC的服務正確的、持續的提供給消費者。
針對資訊安全,HTC 依循國際標準組織ISO 27001 資訊安全標準,建立並推動各項資訊安全管理制度,讓「安全」變成員工日常生活的一部分,同時每年進行風險評估及隱私與資訊安全之內部稽核,透過稽核確保管理系統的有效落實以及每年滾動式修正相關管理政策來降低風險。
HTC Privacy and Security Internal Audit
在世界經濟論壇的風險報告中網路攻擊(Cyber Attack) 是常出現的風險之一,除遵循ISO 27001資訊安全管理落實日常管理作業,確保資訊的機密性、可用性和完整性,並定期對於員工發送隱私暨資訊安全月報健全員工資訊安全意識之外,亦建立防火牆、入侵偵測和防毒系統等機制。2021年在縱深防禦的保護下無重大的資安事件發生。
在降低營運管理風險,確保營運持續運作方面,HTC已針對重點核心基礎系統雲端化,並導入各項雲端服務,打造與時俱進的雲端工作環境,利用雲端的彈性以及高可用性等特性,進行快速佈署和當故障發生時迅速執行災難回復,有效提升工作效率。