資訊安全管理

資訊安全管理

 

緯創之資訊安全管理使命為「打造韌性、安全、值得信任的企業」，致力推動數位轉型，全面導入資訊安全管理機制，確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路之安全性。定期執行資訊安全的內部演練與教育訓練，提升同仁對於資安的意識及警覺性。確保客戶及產品資訊安全。

 

ISO 20000

資訊服務管理系統

緯創於 2018 年 2 月取得資訊服務管理系統國際標準 ISO/IEC 20000:2011 驗證，為企業組織尋求一流的 IT 服務管理及國際認可的 IT 管理標準，保證資訊技術基礎架構（ITIL）的運作達到所需要的標準。2021 年 1 月完成 ISO 20000-1:2018 國際標準轉版驗證要求，進行資訊服務管理制度及相關流程運作優化，以持續強化資訊治理深度。目前證書有效期到2027年2月22。

ISO/IEC 20000 改變內部或委外 IT 服務的執行方式。執行效益如下：

 

• 達到國際 IT 管理的最佳實務標準
• IT 服務提供支援以實踐企業目標為導向
• 整合人員、流程和科技以支援企業目標
• 以控制措施來評量並維持一貫的服務水準
• ISO/IEC 20000 與資訊技術基礎架構庫（ITIL）相容以支援持續改善

ISO 27001

資訊服務管理系統

緯創於 2017 年 8 月取得資訊安全管理系統國際標準 ISO／IEC 27001：2013 驗證，依照此標準實施「Plan-Do-Check-Act」(PDCA) 之循環運作，每年至少進行一次內部自我稽查及一次外部公正第三單位稽查，確保公司落實 ISO 27001 管理機制，每三年也會執行證書重新驗證的程序，持續維持 ISO 27001 的有效認證。2024年全面更新驗證版本至ISO /IEC 27001: 2022，目前證書有效期到2026年8月22日。

• 緯創總部（內湖和汐止辦公區）、新竹廠區及所有的海外製造廠區，針對關鍵基礎設施及持續營運所需之重要資訊系統陸續取得ISO/IEC 27001:2013驗證，並於2022年達到所有製造廠區通過ISO/IEC 27001:2013資訊安全國際管理標準之驗證，涵蓋率達100%
• 緯創總部（內湖和汐止辦公區）、新竹廠區及所有的海外製造廠區在2024年8月全面更新驗證版本至ISO/ IEC 27001: 2022。涵蓋率達100%
• 2023年未發生重大之資安事件，也未有接獲侵犯客戶隱私或遺失客戶資料的投訴

 

資安政策與組織

 

緯創為落實 ISO 27001 資訊安全管理體系的要求，聚焦於流程制度、法令遵循、人員訓練及科技運用，強化資料、資訊系統、設備及網路通訊之安全及防護能力，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險，以確保對股東、客戶的承諾，達到保證公司業務持續營運之目的。
緯創設立資訊安全委員會，督導本公司資訊安 全管理制度、技術標準及維運作業之推行。由 總經理暨執行長、執行副總經理暨營運架構長 與數位長暨資安長共同擔任主任委員，作為本公司推動資訊安全之承諾。並由資訊副總經理 擔任管理代表。成立資安治理室，指派主管一 人擔任總幹事，統籌資訊安全事宜。訂立「資 訊安全政策」作為管理依據，保護員工、客戶、 供應商及營運相關資訊資產之安全，確保企業 永續經營。

一、資訊安全政策

 

為保護緯創資通股份有限公司（以下簡稱本公司）產品與服務之資訊，避免有未經授權之存取、修改、使用及揭露，以及天然災害所引起之損失，並適時提供完整與可用之資訊，本公司致力於資訊安全管理，以確保本公司重要資訊財產之機密性、完整性及可用性，並符合相關法令法規之要求，進而獲得客戶信賴、達到對股東的承諾，保證公司重要業務持續運作。

二、資訊安全委員會組織架構

資訊安全委員會每季召開一次，必要時得召開臨時會，各小組成員須參加。會議議程包括資安事件處理報告，各小組報告組內事務的推動情形，需各單位配合之事項，其他相關建議或臨時動議。2023年共計開會4次，管理代表並於12月21日董事會中報告資訊安全執行情況。

資訊安全管理策略

因應內、外部環境變化，緯創設立專責資安組織、以統籌資安政策制定與推行及資安風險管理。除了從資訊科技資安、營運技術資安、雲端資安三面向持續強化內部的資安舉措，我們亦加入資安情資分享組織，取得資安預警情資、資安威脅與弱點資訊，如：高科技資安聯盟、臺灣電腦網路危機處理暨協調中心（TWCERT/CC)；也結合外部資安廠商與專家資源，持續關注新的資安資訊、技術與趨勢，將防禦或管理手法與時俱進提升快速反應與復原能力，以有效阻擋新型態的資安威脅，確保資訊服務韌性，降低對營運的影響。
緯創採用美國國家標準暨技術研究院（NIST）網路安全框架（Cybersecurity Framework，CSF）的五大關鍵指標：辨識、防護、偵測、應變與復原，評鑑整體資安成熟度，規劃資安發展藍圖，決定優先級與分配資源，落實持續改進計畫。未來資訊安全以零信任架構(Zero Trust Architecture, ZTA)為基礎，要求每個用戶、設備和應用程式等，在存取網路系統或資產之前，都必須經過身份認證和取得授權。保護範圍持續及雲端資安（包含公有雲及私有雲）及工控資安 （Operational Technology，OT），並引進相關資安標準與評估模型，如資訊安全能力成熟度模型（Cybersecurity Capability Maturiy Model，C2M2）、雲端安全聯盟自我評定問卷（CSA Consensus Assessments Initiative Questionnaire，CSA CAIQ），以及ISO/IEC 62443，以強化整體雲端資安與工控資安防禦能力。

 

資訊安全維護作法：

 

• 辨識資訊安全管理制度之相關利害團體，且定期確認利害關係團體對於資訊安全管理制度之需求（包含客戶對資安的要求）
• 社交工程演練及員工資安教育訓練，以全面性的提升同仁資安意識
• 制定完整規範及明確之作業流程，讓資安管理制度化地運行
• 定期執行風險評鑑，以識別出高風險項目並投入適當資源予以降低或移轉
• 透過各項工具、技術運用做到及時有效的辨識、保護、偵測、回應及復原
• 建立資安異常事件應變及復原作業流程，以期能迅速對資訊安全事件隔離、排除威脅，降低影響範圍及程度
• 定期執行關鍵應用系統災難復原演練，以確保其有效性
• 每年定期執行內外部稽核，檢視整個管理系統，確保正常運作並持續改善
• 持續關注新的資安資訊、技術，將防禦或管理手法與時俱進，以有效阻擋新型態的資安威脅，降低營運的風險

資訊安全措施與執行成果

 

一、資訊安全管理及稽核機制

為了保護公司的智慧財產（含機密資料）及客戶的機密資料，緯創自2017 年開始，每年皆進行多次自我查核作業及外部公正第三單位稽核作業。自我查核作業使用NIST CSF 及ISO/IEC 27001:2013 標準；外部第三方稽核作業則以ISO/IEC 27001:2013 標準及客戶之資安規範。上述資訊安全稽核作業皆為確保公司落實資安規範，並持續維持ISO/IEC27001 證書有效性。
緯創持續強化內部控制機制，包含維運單位的自檢，以及資安治理室與稽核室的稽核三道資安防線的機制，確保各廠區資安舉措有效的執行與持續改善。2023 年榮獲台灣企業與永續獎（TCSA）資安領袖獎，展現緯創在資訊安全管理的作為具有產業標竿作用及領導性地位。
在供應鏈資安管理方面，緯創執行廠商風險管理（Vendor Risk Management , VRM）計劃，將廠商分類分級，從安全、風險和隱私等角度檢視廠商資安管理的生命週期。包括採購階段（等級評估、風險評分評估、合約）、合作中持續進行（風險評分評估和補救），以及最終的終止合作。2023 年共盤點出183 個廠商，依照其提供服務的重要性與客戶及營收的關聯度，加上能否直接存取公司網路環境與機密資訊等因子，進行廠商分級。共分三等級，風險等級較高第一、二級廠商依據個別的資安準則，要求廠商需符合緯創資安評鑑的水準。共有6 家廠商經風險評分評估皆符合評鑑水準。

二、強化員工資安意識

為了落實資訊安全觀念至每一位員工，公司提供 e-Learning 教學並透過每半年的社交工程演練，模擬駭 客的釣魚郵件，檢測員工資安風險意識，輔以資安宣導及教育訓練。每月發布資安電子報，包含最新資 安趨勢與近期國內外重大資安事件，藉此提升同仁對於資安的意識及警覺性。同時，對於員工違反資訊 安全政策時，按照「員工獎懲作業實施要點」給予懲處並做為績效管理之參考依據，以降低資訊安全之 風險，與對公司營運衝擊。
 

• 近四年來，全公司員工在社交工程模擬演練時，對於釣魚信件的點擊率統計如下：

舉措	目標	2020 年成果	2021 年成果	2022年成果	2023 年成果
每半年執行社交工程的演練	員工點擊社交工程的信件，點擊率< 15%	H1：10.6% H2：10.5%	H1 : 10.8% H2 : 10.7%	H1 : 9.3% H2 : 10.2%	H1 : 7.4% H2 : 8.2%

2021 年起發展資安專業人才培育計畫（Technical Competency Model，TCM），透過人力盤點，區分資安治理，資安工程，資安分析，軟體開發安全4 種角色，訂定5 個層級的能力標準，每年進行能力評鑑，發展人才能力培育與升級計畫。2023 年共有95 人（其中28 人為資安專責人員）加入資安人才培育計畫，確認資安人才的能力與時俱進。

• 為強化一般員工的資安意識，透過線上課程或實體上課進行教育訓練，主要的課程內容為信息安全意識培訓、資訊安全小學堂、釣魚信件的認識與防範等。2023 年全公司共完成40,296 人次與22,784小時的員工資訊安全訓練課程。違反資安規定懲處記錄46 筆。
• 為提升資安人員的專業能力，鼓勵參與資安相關研討會與訓練課程，2023 年共完成1,632 人次與6,776 小時的訓練課程。主要的課程內容區分資安團隊核心專業課程共6 門。軟體開發團隊的5 門軟體開發安全。以及國際認證的課程包含EC-Council CEH（Certified Ethical Hacker）駭客技術專家認證課程、EC-Council CSA 安全運營中心（SOC）分析師認證、趨勢科技TCSE（TrendMicro Certified Security Expert）認證課程、CompTIA 威脅情資分析專家、CompTIA C 網路資安分析師國際認證班、CISA（Certified Information Systems Auditor）國際電腦稽核師認證研習班、CISSP（Certified Information Systems Security Professional）資安系統專家認證課程、CISM（Certified Information Security Manager）國際資訊安全經理人認證專班、CCSP（Certified Cloud Security Prrosessional）雲端資安專家認證課程及Gartner，微軟，資安廠商等舉辦各資安情報或相關技術研討會。

三、網路及系統的弱點偵測

為保護公司及個人資訊，以及對內對外通訊系統避免因洩漏、竊取、破壞等人為因素，或天然災害所引 起的損失，除了每月內部的弱點掃描，每年定期委託第三方專業單位進行網路及系統的滲透測試，降低 人為因素或自然因素之影響對公司營運所造成的衝擊。其目的為瞭解、評估組織網路環境及系統安全狀 況，驗證目前資安防護的安全等級與成效，做為漏洞補強、改善方法、加強系統的安全性。
2021 年起導入紅隊演練，由外部資安專家團隊在不影響企業營運的前提下，對企業進行模擬入侵攻擊， 嘗試達成指定的測試任務。全面性的檢視公司的服務，網路是否存在漏洞以及人為佈署的疏失；同時也 檢視資安維運與應變小組的識別和防禦、偵測與回應及復原機制運作是否順暢。

四、軟體開發安全

為控管軟體開發生命週期（Software development lifecycle，SDLC）的安全，達成測試左移（Shift Left）安全性，以降低應用系統資安維運成本，緯創導入DevSecOps（Development, Security and Operations）機制，並強化開發團隊、維運團隊及資安團隊的協同合作。並導入非營利性組織OWASP （Open Web Application Security Project）的Ｄ evSecOps 成熟度模型 (DevSecOps Maturity Model，DOSMM) ，以評估軟體整體的成熟度，確保上線的軟體，符合一定的資安成熟度水準。同時將軟體組成分析（Software Composition Analysis，SCA）技術加入開發作業流程中，以提升軟體的安全品質。

五、資安警訊通報與事件管理

根據資安事件管理規範，確保公司資訊安全事件通報、分類、分級、處理、統計及追蹤之作業制度化並 系統化。當資訊安全事件發生時，迅速通報及應變處理，並在最短時間內回復，以確保各項業務之正常 運作。緯創導入進階持續性威脅 （ATP）監控與資安監控中心（SOC）的運作機制，偕同外部資安專家 的資源，資安維運與應變小組人員迅速掌握資安警訊通報及情資事件，強化並加速偵測與回應機制。

六、災難復原演練

為確保營運與重要業務的永續運作，避免重要資訊系統因重大災難事件而導致服務無法持續的風險， 緯創資通公司每半年至少進行一次測試或書面演練資訊業務營運持續計畫或資安事故緊急應變計畫， 確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準，以 達到關鍵應用系統能持續運作並確保企業的營運不中斷。此外電腦中心的備份管理人員每年至少一次 選取部份備份儲存媒體或備援設備，進行備份資料之回存測試，以確認備份資料之可讀性、儲存媒體 之可用性與重要資產回存測試步驟的可行性，以確保有效之備份作業，能夠在恢復操作步驟分配的時 間內完成。
2023 年全球電腦中心針對 7 大功能系統與資料庫，選取了 30 份備份儲存媒體，成功完成備份資料 之回存測試。年度全球電腦中心災難復原演練結果顯示，災難事故發生時最大可容忍資料遺失時 間（Recovery Point Objective, RPO）=1.0 小時，災難事故發生後，最大可容忍資訊服務復原時間 （Recovery Time Objective, RTO）=22.11 小時。近四年演練的結果，都有達到公司設定的目標，詳細 統計資料如下表

• 註 1：RPO: Recovery Point Objective（災難事故發生時最大可容忍資料遺失時間）  註 2：RTO: Recovery Time Objective（災難事故發生後，最大可容忍資訊服務復原時間）

除了資訊系統之的災難復原演練外，緯創每年亦舉辦資安事故應變演練。邀集資安委員會成員，實際 模擬資安事件，進行情境演練，以確保在面臨駭客攻擊時，本公司有足夠之資安防護與管控機制、緊 急通報與應變處理之能力，藉以提昇整體資安韌性

七、災投保資安保險，轉移資安風險

緯創自 2021 年起以集團投保的方式執行全球資安保險保單之規劃，除風險移轉考量外，也期望透過國際性保險市場，進一步獲得外部資安專家的協助與資源。提供預防性的解決方案，增強現有的資訊安全措施，以因應日漸壯大的資安威脅，達成企業永續經營之目標。

八、近四年資安事件狀況

2020 年到 2023 年未發生重大之資安事件，亦無因機密資訊洩漏影響客戶與員工的個資，以及遭受罰款之情事。