為確保文曄及其關係企業的資訊資產機密性、完整性與可用性,並符合相關法令及法規要求,以降低內、外部威脅造成的營運風險,依業務需求,制定資訊安全政策作為遵循依據。此政策適用於文曄及百分之百直接或間接持有、控制或為集團提供銷售、服務之子公司,以及上述組織的全體人員、委外服務廠商、工讀生與訪客等,且於對外合約中納入資安條款。
設立專責部門,強化資安管理
依2024年世界經濟論壇(WEF)全球風險報告,「虛假與錯誤訊息Misinformation and disinformation」在2年內及10年內分別列為第1名與第5名風險,大量虛假資訊使個人及組織難以做出正確判斷,且可能導致資訊查核成本增加;「網路不安全 Cyber insecurity」在2年內及10年內分別列為第4名與第8名風險,日益複雜的網絡間諜活動或網絡犯罪,如隱私權喪失、數據詐欺或資料盜竊等活動,一旦資訊安全防護失效,可能導致資料外洩及勒索風險外,更甚者可能面臨核心系統中斷而造成嚴重營運損失、影響商譽。
鑒於資訊安全日趨重要且網路攻擊層出不窮,文曄資安部門由副總層級資安長專責管理,配置2名專職主管及5名專責人員,針對資安風險管理、事件調查、系統漏洞揭露,以及資訊安全架構的評估和導入等,已於2024年11月5日陳報董事會。2024年未發生敏感資訊洩露或資訊服務中斷之重大資安事件,且未因資安事件造成客戶或供應商的財務損失。
以取得資安證照作為持續提升資安專業能力之檢視機制,2024年合計取得CCSP、Google CyberSecurity、CEH、iPAS中級等4張國際雲端資安、滲透測試與稽核等相關證照。除原先已加入的臺灣CERT/CSIRT聯盟、臺灣資安主管聯盟等資安聯防組織外,新加入中華民國資訊軟體協會,取得相關資安趨勢與威脅情資共享,強化資安聯防體系。
持續強化員工資安意識
傳統資安防護邊界已無法有效防護,員工資安意識成為資安管理重要環節,2021年開始導入社交工程演練,每月隨機選定範本進行社交工程演練,針對釣魚郵件誤觸之員工,建立複訓、通報直屬主管之機制,且定期追蹤訓練成果,以期降低因資安意識不足之同仁造成資安威脅;2024年將世健科技(Excelpoint)、Future Electronics人員納入資安教育訓練與社交工程演練。
資安認知強化作法 – 2024年成果
持續落實資安管理架構,強化企業資安韌性
文曄參考ISO 27001、NIST CSF,導入與強化各項安全管控措施,持續從點線面評估資訊安全防護機制,研擬各種組合,採用縱深防禦及安全設計原則,從管理、資料、端點、應用、網路、第三方供應、持續營運及緊急應變、情資整合與聯防等8個面向進行層層防護,以將資安風險衝擊降低至可接受水準,且持續監控殘餘風險。同時透過第三方機構進行ISO 27001稽核與紅隊演練,驗證管理機制與系統安全防護有效性,強化資安韌性。文曄已通過ISO/IEC 27001:2013、CNS 27001:2014驗證,證書有效期至2025年。依照NIST CSF五大分類,2024年對應相關資安作為如下:
治理
完善資安管控與網路防護
文曄秉持縱深防禦及安全設計原則,依照持續威脅暴露管理(CTEM)精神,盡可能找出易受攻擊路徑之資產,透過風險管理手段降低影響的機率與影響,2024年資安管控措施包含:
每日收集與分析國內外資安新聞、公開來源情資收集(OSINT)、設備廠商及聯防組織資安通報。每年委請外部第三方機構協助進行滲透測試或紅隊演練。
個人電腦及伺服器安裝端點偵測及回應(EDR),定期更新與即時分析,並啟用行為分析模組。同時導入託管式偵測回應(MDR)。
機敏資料傳輸與儲存加密保護。每年針對報廢資訊資產由資訊人員進行處理,確保媒體無法再被讀取。另委請外部專業團隊,針對報廢資訊資產進行消磁、物理破壞,且送交至由政府回收廠進行回收,作業過程由專人陪同且全程保留紀錄。
每週執行弱點掃描且針對識別漏洞評估修補優先順序,定期執行漏洞修補管理。導入多因子驗證且參考NIST 800-63B定期執行弱密碼檢測。重要系統服務導入Fido2實體金鑰強化身分驗證,降低帳密被破解的風險。
導入具應用程式辨識能力、入侵防護及進階威脅防護等功能之次世代防火牆(NGFW)。身分識別模組區分員工及訪客的身分,隔離存取路徑。郵件防護增加進階威脅防護模組,強化信件內容辨識能力。
回應客戶的資安關切
文曄與上下游之交易大量倚賴資訊系統與網路交易,客戶與原廠供應商定期透過資安自評問卷進行評估,且不定期針對特定資安議題進行溝通。另滿足客戶要求,由客戶委託第三方資安服務公司進行主機弱點掃描、滲透測試,以確保供應鏈資訊安全。
| 資安資訊來源 | |
| 1. 客戶 | 5. 資安服務公司 |
| 2. 原廠供應商 | 6. 資安相關新聞或網站 |
| 3. 資安聯防組織 | 7. 零時差攻擊等資訊 |
| 4. 資訊設備廠商 | 8. 外部風險管理平台 |
持續營運與緊急應變
資安監控7×24不中斷
文曄設置資安專用電子郵件,從外部接收多方資安相關資訊,作為內部安全防護改善依據。另與協力廠商簽訂資訊安全監控中心(Security Operation Center, SOC)與偵測及處理代管(Managed Detection Response, MDR)等託管服務,以7×24不間斷機制,隨時監控資安威脅事件。
定期演練資安事故,確保最快時間恢復運作
為強化企業韌性,維持資訊系統之高可用性,依據資安管理系統之持續運作計畫,每年至少進行一次測試及演練,模擬主系統發生事故,將主資料中心切換到異地運作,詳實紀錄演練結果,且於事後檢討與列入持續改善追蹤項目。
2024年電力無預警中斷之情形於4-6月較去年同期增加約50%,文曄持續針對遭受突然停電之情境進行電力異常演練,確保緊急發電機能及時啟動,各項設施與系統能維持正常運作,經演練後確認緊急應變程序均屬允當,各項設施與系統亦均能正常運作。
建立資安通報 分級管理與快速回應
文曄訂有安全事件管理程序書,制定4個等級資安事件分級與通報流程,於資安事件發生時,發現人員通報資訊或資安人員進行事件判定,且依等級進行相對應的通報。若為重大資安事故須立即通報資安長,以陳報總經理做後續之緊急應變管理。
資訊部門須在目標處理時間內排除及解決資安事故,事故處理完畢後進行檢討與改善措施,以預防事故重複發生。若因員工個人行為造成資安事故發生,將評估事故造成原因與影響程度,依循工作規則之規範給予處分。
2024年共發生5次資安事故,皆為非重大等級資安事故,5次皆為帳密外洩事件,皆立即回應與處置,故無造成影響,所有資安事故皆無核心服務及機敏資料外洩等情事。
文曄資安事件流程圖 
系統遭受攻擊時的備援措施
2024年文曄資訊安全績效
∙ 全體員工資安意識訓練2梯次、核心系統相關人員與主管強化訓練1場
∙ 社交工程演練信件278,037封,員工誤觸率0.7%,達成目標值之小於行業平均5%
∙ 垃圾郵件攔截39,553,348封、威脅郵件防護1,576,611封
∙ 端點攔截威脅事件28,782個
∙ 修補系統及軟體漏洞134,736個
∙ 新增資安專業訓練與證照4張資安國際證照、超過專業訓練時數200+小時
2025年資安管理規畫
與協力廠商簽訂資訊安全監控中心(Security Operation Center, SOC)與偵測及處理代管(Managed Detection Response, MDR)託管服務,以7×24不間斷機制,隨時監控資安威脅事件。
