資訊安全管理

資訊安全管理

 

緯創之資訊安全管理使命為「打造韌性、安全、值得信任的企業」，致力推動數位轉型，全面導入資訊安全管理機制，確保資訊處理之正確性與可用性、以及資訊相關系統、設備與網路之安全性。定期執行資訊安全的內部演練與教育訓練，提升同仁對於資安的意識及警覺性。確保客戶及產品資訊安全。

 

ISO 20000

資訊服務管理系統

緯創於 2018 年 2 月取得資訊服務管理系統國際標準 ISO/IEC 20000:2011 驗證，為企業組織尋求一流的 IT 服務管理及國際認可的 IT 管理標準，保證資訊技術基礎架構（ITIL）的運作達到所需要的標準。2021 年 1 月完成 ISO 20000-1:2018 國際標準轉版驗證要求，進行資訊服務管理制度及相關流程運作優化，以持續強化資訊治理深度。目前證書有效期到2024年2月22。

ISO/IEC 20000 改變內部或委外 IT 服務的執行方式。執行效益如下：

 

• 達到國際 IT 管理的最佳實務標準
• IT 服務提供支援以實踐企業目標為導向
• 整合人員、流程和科技以支援企業目標
• 以控制措施來評量並維持一貫的服務水準
• ISO/IEC 20000 與資訊技術基礎架構庫（ITIL）相容以支援持續改善

ISO 27001

資訊服務管理系統

緯創於 2017 年 8 月取得資訊安全管理系統國際標準 ISO／IEC 27001：2013 驗證，依照此標準實施「Plan-Do-Check-Act」(PDCA) 之循環運作，每年至少進行一次內部自我稽查及一次外部公正第三單位稽查，確保公司落實 ISO 27001 管理機制，每三年也會執行證書重新驗證的程序，持續維持 ISO 27001 的有效認證。目前證書有效期到2025年10月31日。

• 緯創總部（內湖和汐止辦公區）、新竹廠及所有的海外製造廠區，針對關鍵基礎設施及持續營運所需之重要資訊系統陸續取得ISO/IEC 27001:2013驗證，並於2022年達到所有製造廠區通過ISO/IEC 27001:2013資訊安全國際管理標準之驗證，涵蓋率達100%
• 2023年未發生重大之資安事件，也未有接獲侵犯客戶隱私或遺失客戶資料的投訴

 

資安政策與組織

 

緯創為落實 ISO 27001 資訊安全管理體系的要求，聚焦於流程制度、法令遵循、人員訓練及科技運用，強化資料、資訊系統、設備及網路通訊之安全及防護能力，有效降低因人為疏失、蓄意或天然災害等導致之資訊資產遭竊、不當使用、洩漏、竄改或破壞等風險，以確保對股東、客戶的承諾，達到保證公司業務持續營運之目的。
緯創設立資訊安全委員會，督導本公司資訊安 全管理制度、技術標準及維運作業之推行。由 總經理暨執行長、執行副總經理暨營運架構長 與數位長暨資安長共同擔任主任委員，作為本公司推動資訊安全之承諾。並由資訊副總經理 擔任管理代表。成立資安治理室，指派主管一 人擔任總幹事，統籌資訊安全事宜。訂立「資 訊安全政策」作為管理依據，保護員工、客戶、 供應商及營運相關資訊資產之安全，確保企業 永續經營。

一、資訊安全政策

 

為保護緯創資通股份有限公司（以下簡稱本公司）產品與服務之資訊，避免有未經授權之存取、修改、使用及揭露，以及天然災害所引起之損失，並適時提供完整與可用之資訊，本公司致力於資訊安全管理，以確保本公司重要資訊財產之機密性、完整性及可用性，並符合相關法令法規之要求，進而獲得客戶信賴、達到對股東的承諾，保證公司重要業務持續運作。

二、資訊安全委員會組織架構

資訊安全委員會每季召開一次，必要時得召開臨時會，各小組成員須參加。會議議程包括資安事件處理報告，各小組報告組內事務的推動情形，需各單位配合之事項，其他相關建議或臨時動議。2023年共計開會4次，管理代表並於12月21日董事會中報告資訊安全執行情況。

資訊安全維護策略

 

運用美國國家標準暨技術研究院（NIST）制訂的網路安全框架（Cybersecurity Framework，CSF），評鑑整體資安成熟度，規劃資安發展藍圖，決定優先級與分配資源，落實持續改進計畫。其框架有五大關鍵功能：辨識、防護、偵測、應變與復原，主要是針對企業遭受攻擊的各個階段，也就是事前（識別和防禦）、事中（偵測），以及事後（因應和復原），所需採取的措施，進行管控。2022 年資訊安全保護範圍將擴及雲端資安（包含公有雲及私有雲）及智慧製造資安（即 OT, Operating Technology），引進相關之資安標準 （如：IEC 62443），強化整體工控資安防禦能力。

 

資訊安全維護作法：

 

• 辨識資訊安全管理制度之相關利害團體，且定期確認利害關係團體對於資訊安全管理制度之需求（包含客戶對資安的要求）
• 社交工程演練及員工資安教育訓練，以全面性的提升同仁資安意識
• 制定完整規範及明確之作業流程，讓資安管理制度化地運行
• 定期執行風險評鑑，以識別出高風險項目並投入適當資源予以降低或移轉
• 透過各項工具、技術運用做到及時有效的辨識、保護、偵測、回應及復原
• 建立資安異常事件應變及復原作業流程，以期能迅速對資訊安全事件隔離、排除威脅，降低影響範圍及程度
• 定期執行關鍵應用系統災難復原演練，以確保其有效性
• 每年定期執行內外部稽核，檢視整個管理系統，確保正常運作並持續改善
• 持續關注新的資安資訊、技術，將防禦或管理手法與時俱進，以有效阻擋新型態的資安威脅，降低營運的風險

資訊安全措施與執行成果

 

一、資訊安全管理及稽核機制

為了保護公司的智慧財產（含機密資料）及客戶的機密資料，緯創自 2017 年開始，每年皆進行多次自 我查核作業及外部公正第三單位稽核作業。自我查核作業使用 NIST CSF 及 ISO/IEC 27001:2013 標準； 外部第三方稽核作業則以 ISO/IEC 27001:2013 標準及客戶之資安規範。上述資訊安全稽核作業皆為確保 公司落實資安規範，並持續維持 ISO/IEC 27001 證書有效性。
緯創資通公司在 2022 年也強化內部控制機制，包含維運單位的自檢，資安治理室及稽核室的稽核三道 資安防線的機制，以確保各廠區資安舉措有效的執行與持續改善。緯創資通公司強化第三方風險管理 （Third Party Risk Management , TPRM）計劃，將供應商分類分級，從安全、風險和隱私等角度實施於 整個供應商管理生命週期。包括採購階段（等級評估、風險評分評估、合約）、合作中持續進行（風險 評分評估和補救），以及最終的終止合作。
2022 年共盤點出 224 個供應商，依照其提供服務的重要性，能不能夠直接存取機密資訊等因子，進行供 應商分級，最後盤點出第一級供應商 11 個、第二級供應商 13 個，其餘為第三級供應商，第一級與第 二級並依據個別的資安準則，要求供應商需符合緯創資安評鑑的水準
 

二、強化員工資安意識

為了落實資訊安全觀念至每一位員工，公司提供 e-Learning 教學並透過每半年的社交工程演練，模擬駭 客的釣魚郵件，檢測員工資安風險意識，輔以資安宣導及教育訓練。每月發布資安電子報，包含最新資 安趨勢與近期國內外重大資安事件，藉此提升同仁對於資安的意識及警覺性。同時，對於員工違反資訊 安全政策時，按照「員工獎懲作業實施要點」給予懲處並做為績效管理之參考依據，以降低資訊安全之 風險，與對公司營運衝擊。

• 近四年來，全公司員工在社交工程模擬演練時，對於釣魚信件的點擊率統計如下：

舉措	目標	2019 年成果	2020 年成果	2021 年成果	2022 年成果
每半年執行社交工程的演練	員工點擊社交工程的信件，點擊率< 15%	H1：14.5% H2：12.9%	H1 : 10.6% H2 : 10.5%	H1 : 10.8% H2 : 10.7%	H1 : 9.3% H2 : 10.2%

2022 年度針對一般員工，透過線上課程或面授，主要的課程內容為信息安全意識培訓、資訊 安全小學堂、釣魚信件的認識與防範等。全公司共完成 42,652 人次與 21,906 小時的員工資 訊安全訓練課程。違反資安規定懲處記錄 784 筆。
2022 年度針對資安人員參與資安相關研討會與訓練課程，共完成 228 人次與 1,005.5 小時。 主要的課程內容為每年緯創資安人員研討會、ISO 27001 資訊安全管理系統主導稽核員訓練 課程、EC-Council CEH（Certified Ethical Hacker）駭客技術專家認證課程、趨勢科技 TCSE （TrendMicro Certified Security Expert） 認證課程、CISA(Certified Information Systems Auditor) 國際電腦稽核師認證研習班、CISSP(Certified Information Systems Security Professional) 資安系統專家認證課程、CISM(Certified Information Security Manager) 國際資 訊安全經理人認證專班、CCSP(Certified Cloud Security Professional ) 雲端資安專家認證課 程及 Gartner，微軟，資安廠商等舉辦各資安情報或相關技術研討會  

三、網路及系統的弱點偵測

為保護公司及個人資訊，以及對內對外通訊系統避免因洩漏、竊取、破壞等人為因素，或天然災害所引 起的損失，除了每月內部的弱點掃描，每年定期委託第三方專業單位進行網路及系統的滲透測試，降低 人為因素或自然因素之影響對公司營運所造成的衝擊。其目的為瞭解、評估組織網路環境及系統安全狀 況，驗證目前資安防護的安全等級與成效，做為漏洞補強、改善方法、加強系統的安全性。
2021 年起導入紅隊演練，由外部資安專家團隊在不影響企業營運的前提下，對企業進行模擬入侵攻擊， 嘗試達成指定的測試任務。全面性的檢視公司的服務，網路是否存在漏洞以及人為佈署的疏失；同時也 檢視資安維運與應變小組的識別和防禦、偵測與回應及復原機制運作是否順暢。
2022 年緯創資通公司資安體檢第三方評核結果平均分數為 92.27 分，高於全球製造業公司平均分數。 (2022 年 11 月起使用不同的評核工具 )

四、軟體開發安全

為提早控管軟體開發生命週期（Software development lifecycle，SDLC）的安全，達成測試左移（Shift Left）安全性，以降低應用系統資安維運成本，緯創資通公司導入了 DevSecOps（Development, Security and Operations）機制，並強化了開發團隊、維運團隊及資安團隊的協同合作。同時將軟體組 成分析（Software Composition Analysis，SCA）技術加入開發作業流程中，以提昇軟體的安全品質。

五、資安警訊通報與事件管理

根據資安事件管理規範，確保公司資訊安全事件通報、分類、分級、處理、統計及追蹤之作業制度化並 系統化。當資訊安全事件發生時，迅速通報及應變處理，並在最短時間內回復，以確保各項業務之正常 運作。緯創導入進階持續性威脅 （ATP）監控與資安監控中心（SOC）的運作機制，偕同外部資安專家 的資源，資安維運與應變小組人員迅速掌握資安警訊通報及情資事件，強化並加速偵測與回應機制。

六、災難復原演練

為確保營運與重要業務的永續運作，避免重要資訊系統因重大災難事件而導致服務無法持續的風險， 緯創資通公司每半年至少進行一次測試或書面演練資訊業務營運持續計畫或資安事故緊急應變計畫， 確保公司在關鍵時刻發揮災難應變能力以災害復原機制快速回復至企業正常或可接受的營運水準，以 達到關鍵應用系統能持續運作並確保企業的營運不中斷。此外電腦中心的備份管理人員每年至少一次 選取部份備份儲存媒體或備援設備，進行備份資料之回存測試，以確認備份資料之可讀性、儲存媒體 之可用性與重要資產回存測試步驟的可行性，以確保有效之備份作業，能夠在恢復操作步驟分配的時 間內完成。
2022 年全球電腦中心針對 7 大功能系統與資料庫，選取了 30 份備份儲存媒體，成功完成備份資料 之回存測試。年度全球電腦中心災難復原演練結果顯示，災難事故發生時最大可容忍資料遺失時 間（Recovery Point Objective, RPO）=0.9 小時，災難事故發生後，最大可容忍資訊服務復原時間 （Recovery Time Objective, RTO）=18.83 小時。近四年演練的結果，都有達到公司設定的目標，詳細 統計資料如下表

• 註 1：RPO: Recovery Point Objective（災難事故發生時最大可容忍資料遺失時間）
• 註 2：RTO: Recovery Time Objective（災難事故發生後，最大可容忍資訊服務復原時間）

除了資訊系統之的災難復原演練外，緯創每年亦舉辦資安事故應變演練。邀集資安委員會成員，實際 模擬資安事件，進行情境演練，以確保在面臨駭客攻擊時，本公司有足夠之資安防護與管控機制、緊 急通報與應變處理之能力，藉以提昇整體資安韌性

七、災投保資安保險，轉移資安風險

緯創自 2021 年起以集團投保的方式執行全球資安保險保單之規劃，除風險移轉考量外，也期望透過國際性保險市場，進一步獲得外部資安專家的協助與資源。提供預防性的解決方案，增強現有的資訊安全措施，以因應日漸壯大的資安威脅，達成企業永續經營之目標。

八、近四年資安事件狀況

2020 年到 2023 年未發生重大之資安事件，亦無因機密資訊洩漏影響客戶與員工的個資，以及遭受罰款之情事。