資訊安全管理

訂閱電子報

請輸入電子信箱

請輸入正確格式的電子信箱

Sending...

Error, please try again later

${ responseMsg }

聯絡我們

若您有 ESG 相關問題或建議,請聯繫我們。
聯絡信箱:ESG@wistron.com

資訊安全管理

資訊安全管理

資訊安全管理

 

緯創致力推動數位轉型,全面導入資訊安全管理機制,確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路之安全性。定期執行資訊安全的內部演練與教育訓練,提升同仁對於資安的意識及警覺性。確保客戶及產品資訊安全。

 

ISO 20000

資訊服務管理系統

緯創於 2018 年 2 月取得資訊服務管理系統國際標準 ISO/IEC 20000:2011 驗證,為企業組織尋求一流的 IT 服務管理及國際認可的 IT 管理標準,保證資訊技術基礎架構(ITIL)的運作達到所需要的標準。2021 年 1 月完成 ISO 20000-1:2018 國際標準轉版驗證要求,進行資訊服務管理制度及相關流程運作優化,以持續強化資訊治理深度。

ISO/IEC 20000 改變內部或委外 IT 服務的執行方式。執行效益如下:

 
  • 達到國際 IT 管理的最佳實務標準
  • IT 服務提供支援以實踐企業目標為導向
  • 整合人員、流程和科技以支援企業目標
  • 以控制措施來評量並維持一貫的服務水準
  • ISO/IEC 20000 與資訊技術基礎架構庫(ITIL)相容以支援持續改善

ISO 27001

資訊服務管理系統

緯創於 2017 年 8 月取得資訊安全管理系統國際標準 ISO/IEC 27001:2013 驗證,依照此標準實施「Plan-Do-Check-Act」(PDCA) 之循環運作,每年至少進行一次內部自我稽查及一次外部公正第三單位稽查,確保公司落實 ISO 27001 管理機制,每三年也會執行證書重新驗證的程序,持續維持 ISO 27001 的有效認證。

  • 緯創為確保資訊作業與資訊系統獲得適當保護,緯創總部(內湖和汐止辦公區)、新竹廠、中山廠、昆山廠、昆山緯視晶廠、泰州廠、成都廠均已通過 ISO/IEC 27001:2013 資訊安全國際管理標準之驗證,涵蓋率達 72.2%。2022 年再擴大驗證範圍至全球其他製造廠,預計涵蓋率達 100%
  • 2021 年度並未有接獲侵犯客戶隱私或遺失客戶資料的投訴
 



資安政策與組織

 

緯創為落實 ISO 27001 資訊安全管理體系的要求,聚焦於流程制度、法令遵循、人員訓練及科技運用,強化資料、資訊系統、設備及網路通訊之安全及防護能力,有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險,以確保對股東、客戶的承諾,達到保證公司業務持續營運之目的。

我們設立資訊安全委員會,督導本公司資訊安全管理制度、技術標準及維運作業之推行。由總經理與數位長暨資安長共同擔任主任委員,作為本公司推動資訊安全之承諾。並由資訊副總經理擔任管理代表。成立資安治理室,指派主管一人擔任總幹事,統籌資訊安全事宜。訂立「資訊安全政策」作為管理依據,保護員工、客戶、供應商及營運相關資訊資產之安全,確保企業永續經營。



一、資訊安全政策

 

為保護緯創資通股份有限公司(以下簡稱本公司)產品與服務之資訊,避免有未經授權之存取、修改、使用及揭露,以及天然災害所引起之損失,並適時提供完整與可用之資訊,本公司致力於資訊安全管理,以確保本公司重要資訊財產之機密性、完整性及可用性,並符合相關法令法規之要求,進而獲得客戶信賴、達到對股東的承諾,保證公司重要業務持續運作。



二、資訊安全委員會組織架構

資訊安全委員會每季召開一次,必要時得召開臨時會,各小組成員須參加。會議議程包括資安事件處理報告,各小組報告組內事務的推動情形,需各單位配合之事項,其他相關建議或臨時動議。



資訊安全維護策略

 

運用美國國家標準暨技術研究院(NIST)制訂的網路安全框架(Cybersecurity Framework,CSF),評鑑整體資安成熟度,規劃資安發展藍圖,決定優先級與分配資源,落實持續改進計畫。其框架有五大關鍵功能:辨識、防護、偵測、應變與復原,主要是針對企業遭受攻擊的各個階段,也就是事前(識別和防禦)、事中(偵測),以及事後(因應和復原),所需採取的措施,進行管控。2022 年資訊安全保護範圍將擴及雲端資安(包含公有雲及私有雲)及智慧製造資安(即 OT, Operating Technology),引進相關之資安標準 (如:IEC 62443),強化整體工控資安防禦能力。




 
資訊安全維護作法:
 
  • 辨識資訊安全管理制度之相關利害團體,且定期確認利害關係團體對於資訊安全管理制度之需求(包含客戶對資安的要求)
  • 社交工程演練及員工資安教育訓練,以全面性的提升同仁資安意識
  • 制定完整規範及明確之作業流程,讓資安管理制度化地運行
  • 定期執行風險評鑑,以識別出高風險項目並投入適當資源予以降低或移轉
  • 透過各項工具、技術運用做到及時有效的辨識、保護、偵測、回應及復原
  • 建立資安異常事件應變及復原作業流程,以期能迅速對資訊安全事件隔離、排除威脅,降低影響範圍及程度
  • 定期執行關鍵應用系統災難復原演練,以確保其有效性
  • 每年定期執行內外部稽核,檢視整個管理系統,確保正常運作並持續改善
  • 持續關注新的資安資訊、技術,將防禦或管理手法與時俱進,以有效阻擋新型態的資安威脅,降低營運的風險



資訊安全措施與執行成果

 

一、資訊安全管理及稽核機制

 

為了保護公司的智慧財產(含機密資料)及客戶的機密資料,緯創自 2017 年開始,每年皆進行多次自我查核作業及外部公正第三單位稽核作業。自我查核作業使用NIST CSF 及 ISO/IEC 27001:2013 標準;外部第三方稽核作業則以 ISO/IEC 27001:2013 標準及客戶之資安規範。上述資訊安全稽核作業皆為確保公司落實資安規範,並持續維持 ISO/IEC 27001 證書有效性。

 
  • 2021 年進行資訊安全查核團隊培訓計畫,全員 18 位皆順利取得 ISO 27001:2013 主導稽核員證照。
  • 2021 年規劃新竹廠、昆山廠、昆山緯視晶廠、泰州廠、成都廠 5 個廠區參與 ISO/IEC 27001:2013 的驗證,並於 2022 年 1 月份取得驗證,加上持續驗證有效的內湖和汐止辦公區及中山廠的 3 個廠區,整體驗證範圍涵蓋率達72.2%。
 



二、強化員工資安意識

 

為了落實資訊安全觀念至每一位員工,公司提供 eLearning 教學並透過每半年的社交工程演練,模擬駭客的釣魚郵件,檢測員工資安風險意識,輔以資安宣導及教育訓練,來提升同仁對於資安的意識及警覺性。同時,對於員工違反資訊安全政策時,按照「員工獎懲作業實施要點」給予懲處並做為績效管理之參考依據,以降低資訊安全之風險,與對公司營運衝擊。

 
  • 近三年來,全公司員工在社交工程模擬演練時,對於釣魚信件的點擊率統計如下:

措施 目標 2019 年成果 2020 年成果 2021 年成果
每半年執行社交工程的演練 員工點擊社交工程的信件,點擊率< 15%
H1:14.5%
H2:12.9%
H1 : 10.6%
H2 : 10.5%
H1 : 10.8%
H2 : 10.7%
  • 2021 年度針對一般員工,透過線上課程或面授,主要的課程內容為信息安全意識培訓、資訊安全小學堂、釣魚信件的認識與防範等。全公司共完成 75,219 人次與20,314.42 小時的員工資訊安全訓練課程。
  • 2021 年度針對資安人員參與資安相關研討會與訓練課程,共完成 114 人次與 1,066.4 小時。主要的課程內容為每年緯創資安人員研討會、ISO 27001 資訊安全管理系統主導稽核員訓練課程、EC-Council CEH(Ethical Hacking and Countermeasures)駭客技術專家認證課程、趨勢科技 TCSE(Trend Certified Security Expert)認證課程、及 Gartner,微軟,資安廠商等舉辦各資安情報或相關技術研討會。
 



三、網路及系統的弱點偵測

 

為保護公司及個人資訊,以及對內對外通訊系統避免因洩漏、竊取、破壞等人為因素,或天然災害所引起的損失,除了每月內部的弱點掃描,每年定期委託第三方專業單位進行網路及系統的滲透測試,降低人為因素或自然因素之影響對公司營運所造成的衝擊。其目的為瞭解、評估組織網路環境及系統安全狀況,驗證目前資安防護的安全等級與成效,做為漏洞補強、改善方法、加強系統的安全性。2021 年總部導入紅隊演練,由外部資安專家團隊在不影響企業營運的前提下,對企業進行模擬入侵攻擊,嘗試達成指定的測試任務,全面性的檢視公司的服務,網路是否存在漏洞,同時也檢視資安維運與應變小組的防護、偵測與回應機制運作是否順暢。2021 年緯創資通公司資安體檢第三方評核結果平均分數為 92.75 分,高於全球製造業公司平均分數。

緯創資通公司平均分數

製造業公司平均分數

 

緯創資通公司平均分數:

92.75

製造業公司平均分數:

85.25

 



四、資安警訊通報與事件管理

 

根據資安事件管理規範,確保公司資訊安全事件通報、分類、分級、處理、統計及追蹤之作業制度化並系統化。當資訊安全事件發生時,迅速通報及應變處理,並在最短時間內回復,以確保各項業務之正常運作。緯創導入進階持續性威脅(ATP)監控與資安監控中心(SOC)的運作機制,偕同外部資安專家的資源,資安維運與應變小組人員迅速掌握資安警訊通報及情資事件,強化並加速偵測與回應機制。

 



五、災難復原演練

 

為確保營運與重要業務的永續運作,避免重要資訊系統因重大災難事件而導致服務無法持續的風險,緯創每年定期進行災難復原演練,確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準,以達到關鍵應用系統能持續運作並確保企業的營運不中斷。此外電腦中心的備份人員每年至少一次選取部份備份儲存媒體或備援設備,進行備份資料之回存測試,以確認備份資料之可讀性、儲存媒體之可用性與重要資產回存測試步驟的可行性,以確保有效之備份作業,能夠在恢復操作步驟分配的時間內完成。2021 年電腦中心針對 6 大功能系統,選取了 25 份備份儲存媒體,成功完成備份資料之回存測試。2021 年度災難復原演練結果顯示,災難事故發生時最大可容忍資料遺失時間(RPO: Recovery Point Objective) = 0.8 小時,災難事故發生後,最大可容忍資訊服務復原時間(RTO: Recovery Time Objective)= 22 小時 。近三年演練的結果,都有達到公司設定的目標,詳細統計資料如下表。

策略 目標 2019 年成果 2020 年成果 2021 年成果
每年執行關鍵應用系統災難復原模擬演練,確保能持續運作,以保證企業的營運不中斷 RPO of SC2
Services<=4 hours
RTO of SC2
Services<=24 hours

RPO=0.9 hour
RTO=19.95 hours

RPO=0.5 hour
RTO=21.0 hours

RPO=0.8 hour
RTO=22.0 hours

  • 註 1:RPO: Recovery Point Objective(災難事故發生時最大可容忍資料遺失時間)
  • 註 2:RTO: Recovery Time Objective(災難事故發生後,最大可容忍資訊服務復原時間)



六、災投保資安保險,轉移資安風險

 

緯創自 2021 年起以集團投保的方式執行全球資安保險保單之規劃,除風險移轉考量外,也期望透過國際性保險市場,進一步獲得外部資安專家的協助與資源。提供預防性的解決方案,增強現有的資訊安全措施,以因應日漸壯大的資安威脅,達成企業永續經營之目標。



近四年資安事件狀況

2018 年到 2021 年未發生重大之資安事件,亦無因機密資訊洩漏影響客戶與員工的個資,以及遭受罰款之情事。

違反資安事件之件數與罰款/年度 2018 2019 2020 2021
違反資安或網路安全事件件數 0 0 0 0
資料洩漏事件(件數) 0 0 0 0
涉及顧客個人資料之資安違反件數 0 0 0 0
因資料洩漏而受影響的顧客與員工人數(人) 0 0 0 0
因資訊安全或網路安全相關事件遭判罰之罰款金額(新台幣元) 0 0 0 0