資訊安全管理

研華為全球物聯網領導廠商，資訊安全議題涉及公司營運穩定、產品安全等層面，對於研華的品牌價值，員工、客戶及投資人等利害關係人而言極為重要。此外，金管會也修法明確規定上市櫃公司對於資安的要求，一旦發生重大資安事件時，需要對外發布重大訊息。

本公司參考美國國家標準暨技術研究院（NIST）制訂的網路安全框架 2.0（Cyber Security Framework (CSF) 2.0），規劃資安管理策略，其框架有六大關鍵功能：識別、防護、偵測、回應、復原與治理，主要是針對企業遭受攻擊的各個階段，也就是事前（識別和防護）、事中（偵測和回應），以及事後（復原），所需採取的措施進行管控。

承諾維護資訊安全，持續監控資安管理成效，減少資訊安全事故之發生，以保障公司與客戶之利益。

資訊安全的正面衝擊，供應鏈的資訊安全在科技業日趨重要，公司強化資訊安全的努力，可提高客戶對於公司的信心，並加強企業整體風險管理及因應營運風險時的韌性。

資訊安全受到侵害對企業營運產生的負面衝擊，包括機密資訊外洩、系統服務中斷等，將對公司造成聲譽損害、業務及客戶流失、法律訴訟等風險等。
應對負面衝擊的行動措施如下：

• 部署多層次縱深防禦架構，如防火牆、端點防護、特權帳號管理、雙因子認證等防護機制
• 持續檢測及監控資安風險，並建立資安事件監控、回應與處理機制
• 重要系統實施3-2-1資料備份，並建立異地備援機制
• 導入資訊安全管理系統，提升整體資訊安全成熟度
• 持續辦理資安宣導活動，加強人員資安意識

• Microsoft安全分數超過70%
• 資安風險評級分數達78
• 關鍵應用系統可用性達99.9%
• 辦理員工資安宣導課程，完成率為91.7%
• 執行社交工程郵件測試，總部通過率為84.3%，海外子公司通過率77.4%
• 每季寄發資安電子報，並舉辦研華全球IT部門之資安競賽活動
• 總部、台灣導入上網安全過濾目標涵蓋率達100%

• 資安風險評級分數達80
• 歐洲、北美及中國地區資訊作業完成ISO 27001:2022新版標準轉版驗證
• 日本及新加坡導入上網安全過濾目標涵蓋率達100%
• 總部及台灣區導入零信任網路存取NAC目標涵蓋率超過80%
• 持續擴大部署弱點修補工具於IT機房內之主機系統，目標涵蓋率超過80%
• 資安管理dashboard系統上線，集中監控台灣/中國/北美/歐洲四大區域重要資安指標
• Azure雲端環境資安分數超過65%
• 中國昆山與台灣重要據點完成雙網路計劃

• 研華全球導入上網安全過濾及零信任網路存取
• 資安風險評級分數高於同業標準，評級分數維持不低於85
• 全球廠區作業取得ISO 27001新版標準驗證

• 總部IT機房維運、骨幹網路及林口廠區OT維運完成ISO 27001:2022新版標準轉版
• 導入整合了網路安全和存取控制的雲端架構SASE（Security Access Service Edge），提升使用互聯網的安全和效能
• 強化數位資產管理機制，掌握研華全球的資安風險予以改善，並瞭解委外第三方供應商的安全狀況
• 著手自行開發資安管理dashboard系統，於2024年底前完成初步測試及階段功能目標
• 針對產品資安成立Security Committee，定期召開會議檢討相關議題及追蹤工作進度

• 持續提升Microsoft安全分數達到70%
• 導入資安風險評級工具並持續監控資安風險狀況，採取因應改善措施，逐步提升資安風險評級分數至78
• 總部通過第三方驗證公司之外部稽核，維持導入範圍內作業符合ISO/IEC 27001:2022標準要求

• 員工：提供資安必修線上課程並須完成測驗
• 客戶：回覆客戶的問卷及稽核，並視需求提供相關佐證紀錄
• 供應商及承攬商：所有供應商須填寫資安管理聲明書，主要元件及系統服務供應商須完成資安風險自評表及定期進行資安查核
• 股東與投資機構：透過公司年報及永續報告書揭露公司提升資安的重大行動方案及成果
• 合作夥伴：通報並合力解決產品資安議題
• 政府 / 公協會 / 媒體：回覆政府單位及相關公協會之詢問，並視需求提供相關佐證紀錄