分類: 深化資訊安全

為確保文曄所屬之資訊資產的機密性、完整性及可用性，以符合相關法令、法規之要求，使其免於遭受內、外部蓄意或意外之威脅，且衡酌業務需求，訂定資訊安全政策做為遵循依據，有效及合理地降低營運風險。適用範圍包含文曄及所屬之關係企業，百分之百直接或間接持有、控制或為集團提供銷售、服務之子公司及上述組織之全體人員、委外服務廠商、工讀生與訪客等，且於對外合約中加入資安條款。

依2023年世界經濟論壇（WEF）全球風險報告，「廣泛的網路犯罪與不安全Widespread cybercrimeand cyber insecurity」在2年內及10年內皆列為第8名風險。日益複雜的網絡間諜活動或網絡犯罪，如隱私權喪失、數據詐欺或資料盜竊等活動，一旦資訊安全防護失效，可能導致資料外洩及勒索風險外，更甚者可能面臨核心系統中斷而造成嚴重營運損失、影響商譽。

 

鑒於資訊安全日趨重要且網路攻擊層出不窮，文曄資安部門由副總層級資安長專責管理，配置1名專職主管及2名專責人員，針對資安風險管理、事件調查、系統漏洞揭露，以及資訊安全架構的評估和導入等，每年定期呈報董事會。因應永續發展委員會成立，未來資安管理策略與成效亦將向永續發展委員會報告後再呈報董事會。2023年未發生敏感資訊洩露或資訊服務中斷之重大資安事件，且未因資安事件造成客戶或供應商的財務損失。

以取得資安證照作為持續提升資安專業能力之檢視機制，2023年合計取得CEH Master、CISA、ISO27001主導稽核員等6張國際資安治理、資安管理與稽核等相關證照。另加入台灣CERT/CSIRT聯盟、台灣資安主管聯盟等資安聯防組織，取得相關資安趨勢與威脅情資共享，強化資安聯防體系。2023年除參與會議外，亦在台灣資安主管聯盟會議中分享供應鏈資安作法，說明協助供應商提升資安能力，強化整體供應鏈資安防護。

定期複訓、強化員工資安意識

傳統資安防護邊界已無法有效防護，員工資安意識成為資安管理重要環節，2021年開始導入社交工程演練，每月隨機選定範本進行社交工程演練，針對釣魚郵件誤觸之員工，建立複訓、通報直屬主管之機制，且定期追蹤訓練成果，以期降低因資安意識不足之同仁造成資安威脅。

 

落實資安管理架構 升級企業資安韌性

傳統資安防護邊界已無法有效防護，員工資安意識成為資安管理重要環節，2021年開始導入社交工程演練，每月隨機選定範本進行社交工程演練，針對釣魚郵件誤觸之員工，建立複訓、通報直屬主管之機制，且定期追蹤訓練成果，以期降低因資安意識不足之同仁造成資安威脅。文曄參考ISO 27001、NIST CSF，導入與強化各項安全管控措施，持續從點線面評估資訊安全防護機制，研擬各種組合，採用縱深防禦及安全設計原則，從管理、資料、端點、應用、網路、第三方供應、持續營運及緊急應變、情資整合與聯防等8個面向進行層層防護，以將資安風險衝擊降低至可接受水準，且持續監控殘餘風險。同時透過第三方機構進行ISO 27001稽核與紅隊演練，驗證管理機制與系統安全防護有效性，強化資安韌性。文曄已通過ISO/IEC 27001:2013、CNS 27001:2014驗證，證書有效期至2025年。

5大管理措施 完善資安管控與網路防護

文曄秉持縱深防禦及安全設計原則，依照持續威脅暴露管理（CTEM）精神，盡可能找出易受攻擊路徑之資產，透過風險管理手段降低發生的機率與影響，2023年資安管控措施包含：

回應客戶的資安關切

文曄與上下游之交易大量倚賴資訊系統與網路交易，客戶與原廠供應商定期透過資安自評問卷進行評估，且不定期針對特定資安議題進行溝通。另滿足客戶要求，由客戶委託第三方資安服務公司進行主機弱點掃描、滲透測試，以確保供應鏈資訊安全。

持續營運與緊急應變

資安監控7×24不中斷

文曄設置資安專用電子郵件，從外部接收多方資安相關資訊，作為內部安全防護改善依據。

與協力廠商簽訂資訊安全監控中心（Security Operation Center, SOC）與偵測及處理代管（Managed Detection Response, MDR）託管服務，以7×24不間斷機制，隨時監控資安威脅事件。

定期演練資安事故 確保最短時間恢復運作

為強化企業韌性，維持資訊系統之高可用性，依據資安管理系統之持續運作計畫，每年至少進行一次測試及演練，模擬主系統發生事故，將主資料中心切換到異地運作，詳實紀錄演練結果，且於事後檢討與列入持續改善追蹤項目。

2023年因電力無預警中斷之情形雖較2022年已改善25％，文曄仍持續針對遭受突然停電之情境進行電力異常演練，確保緊急發電機能及時啟動，各項設施與系統能維持正常運作，經演練後確認緊急應變程序均屬允當，各項設施與系統亦均能正常運作。

建立資安通報 分級管理與快速回應

文曄訂有安全事件管理程序書，制定4個等級資安事件分級與通報流程，於資安事件發生時，發現人員通報資訊或資安人員進行事故判定，且依等級進行相對應的通報。若為重大資安事故須立即通報資安長，以呈報總經理做後續之緊急應變管理。

 

資訊部門須在目標處理時間內排除及解決資安事故，事故處理完畢後進行檢討與改善措施，以預防事故重複發生。若因員工個人行為造成資安事故發生，將評估事故造成原因與影響程度，依循工作規則之規範給予處分。

2023年共發生4次資安事故，皆為非重大等級資安事故，3次為帳密外洩事件，皆立即回應與處置，故無造成影響，1次為網路服務業者對外網路異常，當下已切換至備援線路，所有資安事故皆無核心服務、機敏資料或與客戶或原廠供應商交易之機密資訊外洩等情事。

鑒於資訊安全日趨重要且網路攻擊層出不窮，文曄於2022年成立專責資安部門，配置1位副總層級資安長、1名專責主管及2名專責人員，專責資安事件調查、系統漏洞揭露，以及新型態資訊安全架構的評估和導入等，主要完成事項如下：

1. 2022年完成ISO/IEC 27001:2013、CNS 27001:2014驗證（證書有效期限至2025-10-31），藉由正規化、系統化的控制及管理，降低資訊安全事件所帶來的威脅和衝擊。
2. 設置資安專用電子郵件，從外部接收客戶、供應商、各資安情資聯防及資訊設備、服務廠商等資安通報。
3. 專人收集各大資安新聞、漏洞發布、零時差攻擊及漏洞利用趨勢等資訊，進行分析、紀錄及訂定事件等級；內部則針對嚴重程度訂定事件等級，由資訊部門通報窗口進行記錄，若為重大資安事件須立即通報資安長，資安部門須在目標處理時間內確認事件、排除及解決資安事件，安全事件應變單位（Incident Response team, IR team）需在事件處理完畢後進行根因分析，追蹤且記錄矯正措施之執行成效，以持續改善手法預防事件重複發生。除此之外，也將資訊安全事件嚴重程度劃分成4個等級，分別制定其回復機制與標準作業程序，加速資訊系統服務的回復時間。

資安管理防護

軟硬體與網路防護與監控

文曄設置資安專用電子郵件，從外部接收客戶、供應商、台灣電腦網路危機處理暨協調中心（TWCERT）及資訊設備、服務廠商等資安通報，且有專人定時收集各大資安新聞、漏洞發布、零時差攻擊等資訊，進行分析、紀錄及訂定事件等級；內部則針對嚴重程度訂定事件等級，由資訊部門通報窗口進行記錄，若為重大資安事件須立即通報資安長，資訊部門須在目標處理時間內排除及解決資安事件，且在事件處理完畢後進行根因分析，追蹤且記錄矯正措施之執行及驗證成效，依循PDCA手法持續改善，預防事件重複發生。

提升個人網路安全10大要點

除了提高安全意識，文曄更提供員工及供應商具體方法，提升個人網路的安全，例如：

1. 1. 落實個人電腦及伺服器防毒軟體端點防護，定期更新與掃描同時啟用行為分析模組保護端點安全。
   2. 外網防火牆設備具有應用程式辨識能力、入侵防護及進階威脅防護等機制，透過增加可視性與資安數據監控，強化防禦能力。
   3. 內網防火牆透過微分段，正向表列可存取服務，以阻隔不當存取降低風險暴露。
   4. 身分識別模組區分員工及訪客的身分，隔離存取路徑。
   5. 郵件防護除了基本垃圾郵件辨識外，另增加進階威脅防護模組，強化信件內容辨識能力，有效阻隔垃圾或釣魚信件，防護機敏資料遭竊風險。
   6. 導入人工智慧機器學習之端點／網路偵測回應防護機制（EDR/NDR），自主學習建立正常行為模型，進而從中發現與阻斷異常行為。
   7. 與廠商簽定SOC及MDR服務，以7×24全天候監控與分析資安威脅事件。
   8. 以弱點掃描系統隨時掌握系統漏洞，且持續追蹤及改善。
   9. 導入多因子驗證，降低帳密被竊取的風險。
   10. 持續社交工程演練及教育訓練，提升員工資訊安全意識。

系統備援與資安事件管理

遭惡意入侵時的備援與回復方案

文曄已全面建立網路與電腦之相關資安防護措施，但無論多完善的防護措施，都無法100％保證企業核心系統能完全避免黑天鵝或灰犀牛事件，故增加企業韌性，迅速恢復系統運作將是重中之重。因此，除不斷加強資訊安全軟、硬體的投資外，也持續強化企業持續運營能力，使資安事件發生時能夠在最短時間恢復營運。

持續強化資安防護能力，成為第一級營運能力的企業

持續交付能力是文曄營運的基礎，文曄致力於提供符合機密性、完整性及可用性的產品和服務。為成為業界第一流企業，應用與導入國際資安框架，持續強化各項安全管控措施，以提供高度資安防護能力。因此，持續從點線面評估資訊安全防護機制，研擬各種技術組合，以縮短系統修復時間，同時透過導入資安管理系統驗證和紅隊演練等，透過第三方機構之協助，檢視和升級系統防護。2022年外部發生多次電力無預警中斷之情形，文曄為預防實際遭受突然停電之情況，進行電力異常演練，確保緊急發電機能及時啟動，各項設施與系統能維持正常運作，經演練後確認緊急應變程序均屬允當，各項設施與系統亦均能正常運作。

透過強化資訊安全防護和員工的安全意識，於2022年未發生敏感資訊洩露或重大資訊服務中斷事件，且沒有客戶或供應商的財務損失。

回應利害關係人資安關切

文曄透過每年與客戶、供應商定期之資安自評問卷或主管機關針對資安管理進行評估或詢問特定之資安議題，2022年收到客戶關切議題主要為重大漏洞處理、各項安全管控措施作為、ISO 27001驗證與永續經營-資安治理等，全數由資安部門進行回覆，以達成利害關係人期望與要求。

 

將產品準時交付給客戶是文曄營運的基礎，系統停擺將造成延宕出貨或無法出貨的狀況，文曄自我期許成為產業界具備第一級營運能力的企業，而高度資安防護能力是提供優質服務的基石，因此持續從點線面評估資訊安全防護機制，且研擬各項技術的搭配來縮短系統修復時間，透過國際認證及紅隊演練等第三方機構來協助審視。經強化各項資訊安全防護與員工之安全意識，2021年未發生敏感資訊洩露之情形，且無重大之資訊服務中斷情形，造成與客戶或供應商營運活動之財務損失。

 

設立專責部門，強化資安管理

鑒於資訊安全日趨重要且網路攻擊層出不窮，文曄將於2022年成立專責資安部門，配置1位專責主管及2位專責人員，專責資安事件調查、系統漏洞揭露，以及新型態資訊安全架構的評估和導入等。另外，亦將評估ISO 27001的導入，藉由正規化、系統化的控制及管理，降低資訊安全事件所帶來的威脅和衝擊。

 

文曄設置資安專用電子郵件，從外部接收客戶、供應商、台灣電腦網路危機處理暨協調中心（TWCERT）及資訊設備、服務廠商等資安通報，且有專人定時收集各大資安新聞、漏洞發布、零時差攻擊等資訊，進行分析、紀錄及訂定事件等級；內部則針對嚴重程度訂定事件等級，由資訊部門通報窗口進行記錄，若為重大資安事件須立即通報營運長，資訊部門須在目標處理時間內排除及解決資安事件，且在事件處理完畢後進行根因分析，追蹤且記錄矯正措施之執行及驗證成效，依循PDCA手法持續改善，預防事件重複發生。

 

除此之外，也將資訊安全事件嚴重程度劃分成數個等級，分別制定其回復機制與標準作業程序，加速資訊系統服務的回復時間。

建立員工的安全意識

疫情席捲全球，改變人們生活型態，也改變工作型態，在家上班或行動辦公成為常態，致使員工脫離企業內網的防護，成為企業資安的潛在破口，強化員工資安意識已成為資訊安全中重要的一環。

 

2021年下半年導入員工資訊安全意識培訓計畫，規畫網路釣魚基礎課程與發現網路釣魚遊戲課程，兩項課程除了倉管人員100人，因其沒有個人電腦可使用且未提供公司電子郵件而未派訓之外，其餘開課時點之所有員工皆列為應訓人員，總應訓人次共4,205人次，除7人次於課程開立期間離職，2021年實際已完訓4,198人次（完訓率100%）。透過影片講解及互動式教學，提升員工資訊安全的知識及認知，且透過持續的社交工程演練，將安全意識融入到日常工作中。

遭惡意入侵時的備援與回復方案

文曄已全面建立網路與電腦之相關資安防護措施，但無論多完善的防護措施，都無法100%保證企業重要功能的電腦系統能完全避免來自任何第三方入侵攻擊造成的系統癱瘓。在遭遇嚴重的入侵事件時，系統可能無法運作，導致無法出貨，造成營運中斷或延誤出貨而須賠償客戶的損失，故迅速恢復系統運作將是重中之重。因此，除不斷加強資訊安全軟硬體的投資外，也持續強化備援措施，讓意外發生時能夠在最短時間恢復營運。

 

引進最新人工智慧NDR與EDR

駭客攻擊入侵手法日新月異，除了不斷探索系統漏洞，甚至運用零時差攻擊，在系統漏洞還未補上前駭入系統，也會透過釣魚方式竊取員工帳號與密碼，直接進到公司內部，種種方式已非傳統特徵碼的更新防護方式所能阻擋。

 

文曄於2021年導入具人工智慧機器學習機制的網路偵測回應（NDR）與端點偵測回應（EDR），NDR在網路端出現異常行為偏差時，進行第一線阻斷隔離防護；當網路端無法及時辨識及阻攔，使威脅進入到端點時，則透過EDR機制再行阻斷隔離防護。同時網路威脅沒有假日，因此亦與協力廠商簽訂SOC/MDR等託管服務，以7×24不間斷機制，隨時監控資安威脅事件。

回應客戶的資安關切

文曄客戶透過每年定期之供應商自評問卷，或透過與業務部門日常之溝通機制，針對資安管理進行評估或詢問特定之資安議題，2021年收到客戶關切議題主要為重大漏洞處理及是否通過ISO 27001驗證，全部已由資訊部門透過自評問卷或電子郵件進行回覆，以達成客戶之需求。