資訊安全管理
緯創之資訊安全管理使命為「打造韌性、安全、值得信任的企業」,致力推動數位轉型,全面導入資訊安全管理機制,確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路之安全性。定期執行資訊安全的內部演練與教育訓練,提升同仁對於資安的意識及警覺性。確保客戶及產品資訊安全。
本網站使用Cookies以提昇您的使用體驗及統計網路流量相關資料。
繼續使用本網站表示您同意我們使用Cookies及我們的 隱私權政策。
緯創之資訊安全管理使命為「打造韌性、安全、值得信任的企業」,致力推動數位轉型,全面導入資訊安全管理機制,確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路之安全性。定期執行資訊安全的內部演練與教育訓練,提升同仁對於資安的意識及警覺性。確保客戶及產品資訊安全。
緯創於 2018 年 2 月取得資訊服務管理系統國際標準 ISO/IEC 20000:2011 驗證,為企業組織尋求一流的 IT 服務管理及國際認可的 IT 管理標準,保證資訊技術基礎架構(ITIL)的運作達到所需要的標準。2021 年 1 月完成 ISO 20000-1:2018 國際標準轉版驗證要求,進行資訊服務管理制度及相關流程運作優化,以持續強化資訊治理深度。目前證書有效期到2027年2月22。
ISO/IEC 20000 改變內部或委外 IT 服務的執行方式。執行效益如下:
緯創於 2017 年 8 月取得資訊安全管理系統國際標準 ISO/IEC 27001:2013 驗證,依照此標準實施「Plan-Do-Check-Act」(PDCA) 之循環運作,每年至少進行一次內部自我稽查及一次外部公正第三單位稽查,確保公司落實 ISO 27001 管理機制,每三年也會執行證書重新驗證的程序,持續維持 ISO 27001 的有效認證。2024年全面更新驗證版本至ISO /IEC 27001: 2022,目前證書有效期到2026年8月22日。
緯創為落實 ISO 27001 資訊安全管理體系的要求,聚焦於流程制度、法令遵循、人員訓練及科技運用,強化資料、資訊系統、設備及網路通訊之安全及防護能力,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,以確保對股東、客戶的承諾,達到保證公司業務持續營運之目的。
緯創設立資訊安全委員會,督導本公司資訊安 全管理制度、技術標準及維運作業之推行。由 總經理暨執行長、執行副總經理暨營運架構長 與數位長暨資安長共同擔任主任委員,作為本公司推動資訊安全之承諾。並由資訊副總經理 擔任管理代表。成立資安治理室,指派主管一 人擔任總幹事,統籌資訊安全事宜。訂立「資 訊安全政策」作為管理依據,保護員工、客戶、 供應商及營運相關資訊資產之安全,確保企業 永續經營。
為保護緯創資通股份有限公司(以下簡稱本公司)產品與服務之資訊,避免有未經授權之存取、修改、使用及揭露,以及天然災害所引起之損失,並適時提供完整與可用之資訊,本公司致力於資訊安全管理,以確保本公司重要資訊財產之機密性、完整性及可用性,並符合相關法令法規之要求,進而獲得客戶信賴、達到對股東的承諾,保證公司重要業務持續運作。
資訊安全委員會每季召開一次,必要時得召開臨時會,各小組成員須參加。會議議程包括資安事件處理報告,各小組報告組內事務的推動情形,需各單位配合之事項,其他相關建議或臨時動議。2023年共計開會4次,管理代表並於12月21日董事會中報告資訊安全執行情況。
因應內、外部環境變化,緯創設立專責資安組織、以統籌資安政策制定與推行及資安風險管理。除了從資訊科技資安、營運技術資安、雲端資安三面向持續強化內部的資安舉措,我們亦加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊,如:高科技資安聯盟、臺灣電腦網路危機處理暨協調中心(TWCERT/CC);也結合外部資安廠商與專家資源,持續關注新的資安資訊、技術與趨勢,將防禦或管理手法與時俱進提升快速反應與復原能力,以有效阻擋新型態的資安威脅,確保資訊服務韌性,降低對營運的影響。
緯創採用美國國家標準暨技術研究院(NIST)網路安全框架(Cybersecurity Framework,CSF)的五大關鍵指標:辨識、防護、偵測、應變與復原,評鑑整體資安成熟度,規劃資安發展藍圖,決定優先級與分配資源,落實持續改進計畫。未來資訊安全以零信任架構(Zero Trust Architecture, ZTA)為基礎,要求每個用戶、設備和應用程式等,在存取網路系統或資產之前,都必須經過身份認證和取得授權。保護範圍持續及雲端資安(包含公有雲及私有雲)及工控資安 (Operational Technology,OT),並引進相關資安標準與評估模型,如資訊安全能力成熟度模型(Cybersecurity Capability Maturiy Model,C2M2)、雲端安全聯盟自我評定問卷(CSA Consensus Assessments Initiative Questionnaire,CSA CAIQ),以及ISO/IEC 62443,以強化整體雲端資安與工控資安防禦能力。
為了落實資訊安全觀念至每一位員工,公司提供 e-Learning 教學並透過每半年的社交工程演練,模擬駭 客的釣魚郵件,檢測員工資安風險意識,輔以資安宣導及教育訓練。每月發布資安電子報,包含最新資 安趨勢與近期國內外重大資安事件,藉此提升同仁對於資安的意識及警覺性。同時,對於員工違反資訊 安全政策時,按照「員工獎懲作業實施要點」給予懲處並做為績效管理之參考依據,以降低資訊安全之 風險,與對公司營運衝擊。
舉措 | 目標 | 2020 年成果 | 2021 年成果 | 2022年成果 | 2023 年成果 |
---|---|---|---|---|---|
每半年執行社交工程的演練 | 員工點擊社交工程的信件,點擊率< 15% |
H1:10.6%
H2:10.5% |
H1 : 10.8%
H2 : 10.7% |
H1 : 9.3%
H2 : 10.2% |
H1 : 7.4%
H2 : 8.2%
|
為保護公司及個人資訊,以及對內對外通訊系統避免因洩漏、竊取、破壞等人為因素,或天然災害所引 起的損失,除了每月內部的弱點掃描,每年定期委託第三方專業單位進行網路及系統的滲透測試,降低 人為因素或自然因素之影響對公司營運所造成的衝擊。其目的為瞭解、評估組織網路環境及系統安全狀 況,驗證目前資安防護的安全等級與成效,做為漏洞補強、改善方法、加強系統的安全性。
2021 年起導入紅隊演練,由外部資安專家團隊在不影響企業營運的前提下,對企業進行模擬入侵攻擊, 嘗試達成指定的測試任務。全面性的檢視公司的服務,網路是否存在漏洞以及人為佈署的疏失;同時也 檢視資安維運與應變小組的識別和防禦、偵測與回應及復原機制運作是否順暢。
為控管軟體開發生命週期(Software development lifecycle,SDLC)的安全,達成測試左移(Shift Left)安全性,以降低應用系統資安維運成本,緯創導入DevSecOps(Development, Security and Operations)機制,並強化開發團隊、維運團隊及資安團隊的協同合作。並導入非營利性組織OWASP (Open Web Application Security Project)的D evSecOps 成熟度模型 (DevSecOps Maturity Model,DOSMM) ,以評估軟體整體的成熟度,確保上線的軟體,符合一定的資安成熟度水準。同時將軟體組成分析(Software Composition Analysis,SCA)技術加入開發作業流程中,以提升軟體的安全品質。
根據資安事件管理規範,確保公司資訊安全事件通報、分類、分級、處理、統計及追蹤之作業制度化並 系統化。當資訊安全事件發生時,迅速通報及應變處理,並在最短時間內回復,以確保各項業務之正常 運作。緯創導入進階持續性威脅 (ATP)監控與資安監控中心(SOC)的運作機制,偕同外部資安專家 的資源,資安維運與應變小組人員迅速掌握資安警訊通報及情資事件,強化並加速偵測與回應機制。
為確保營運與重要業務的永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續的風險, 緯創資通公司每半年至少進行一次測試或書面演練資訊業務營運持續計畫或資安事故緊急應變計畫, 確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準,以 達到關鍵應用系統能持續運作並確保企業的營運不中斷。此外電腦中心的備份管理人員每年至少一次 選取部份備份儲存媒體或備援設備,進行備份資料之回存測試,以確認備份資料之可讀性、儲存媒體 之可用性與重要資產回存測試步驟的可行性,以確保有效之備份作業,能夠在恢復操作步驟分配的時 間內完成。
2023 年全球電腦中心針對 7 大功能系統與資料庫,選取了 30 份備份儲存媒體,成功完成備份資料 之回存測試。年度全球電腦中心災難復原演練結果顯示,災難事故發生時最大可容忍資料遺失時 間(Recovery Point Objective, RPO)=1.0 小時,災難事故發生後,最大可容忍資訊服務復原時間 (Recovery Time Objective, RTO)=22.11 小時。近四年演練的結果,都有達到公司設定的目標,詳細 統計資料如下表
策略 | 目標 | 2020 年成果 | 2021 年成果 | 2022 年成果 | 2023 年成果 |
---|---|---|---|---|---|
每年執行關鍵應用系統災難復原模擬演練,確保能持續運作,以保證企業的營運不中斷 | RPO of SC2 Services<=4 hours RTO of SC2 Services<=24 hours |
RPO=0.5 hour |
RPO=0.8 hour |
RPO=0.9 hour |
RPO=1.0 hour RTO=22.11hours |
緯創自 2021 年起以集團投保的方式執行全球資安保險保單之規劃,除風險移轉考量外,也期望透過國際性保險市場,進一步獲得外部資安專家的協助與資源。提供預防性的解決方案,增強現有的資訊安全措施,以因應日漸壯大的資安威脅,達成企業永續經營之目標。
2020 年到 2023 年未發生重大之資安事件,亦無因機密資訊洩漏影響客戶與員工的個資,以及遭受罰款之情事。
違反資安事件之件數與罰款/年度 | 2020 | 2021 | 2022 | 2023 |
---|---|---|---|---|
違反資安或網路安全事件件數 | 0 | 0 | 0 | 0 |
資料洩漏事件(件數) | 0 | 0 | 0 | 0 |
涉及顧客個人資料之資安違反件數 | 0 | 0 | 0 | 0 |
因資料洩漏而受影響的顧客與員工人數(人) | 0 | 0 | 0 | 0 |
因資訊安全或網路安全相關事件遭判罰之罰款金額(新台幣元) | 0 | 0 | 0 | 0 |