資訊安全管理

重大主題管理方針

資訊安全管理

項目 解釋
重大性
重大性

隨著網路攻擊事件威脅不斷,資訊安全已成為全球企業營運之主要風險之一。研華為全球物聯網領導廠商,資訊安全議題涉及公司營運穩定、產品安全、隱私等層面,對於研華的品牌價值,員工、客戶及投資人等利害關係人而言極為重要。
管理策略
管理策略
  • 改善資安風險可視性。
  • 降低可被攻擊面。
  • 提升資安治理與風險意識。
  • 強化資安韌性。
政策或承諾
政策或承諾

承諾維護資訊安全,持續監控資安管理成效,減少資訊安全事故之發生,以保障公司與客戶之利益。

衝擊描述
衝擊描述

資訊安全的正面衝擊,可強化利害關係人等對於企業風險管理及永續經營的信心度。研華成立資安管理組織並導入 ISO 27001 標準,持續精進資安管理體系。
反之,資訊安全受到侵害對企業營運產生的負面衝擊,包括機密資訊外洩、系統服務中斷等,將對公司造成聲譽損害、業務及客戶流失、法律訴訟等風險等。
本公司在安全防護措施方面,採用多層次縱深防禦架構,佈署防火牆、防毒、端點防護、特權帳號管理、雙因子認證等防護機制,不斷評估資安風險並強化資安防護架構,降低資安事件發生的機率;此外,本公司之重要系統已完成 8/12/24 3-Tier Snapshot 資料備份,並建立異地備援中心,對於資安事件建立回應與處理機制以降低其衝擊。

2023 年目標達成狀況
2023 年目標達成狀況
    資安宣導課程完成率為 89%。此外,以下各項皆達成 2023 年目標。
  • Microsoft 安全分數達 62%。
  • 端點安全防護 (EDR) 部署涵蓋率達 83%。
  • 系統弱點修補工具部署涵蓋率超過 91%。
  • 關鍵應用系統可用性達 99.9%。
2024 年目標
2024 年目標
  • 總部及台灣區導入上網安全過濾及零信任網路存取。
  • 資安風險評級分數達 80%。
  • 總部及林口廠區完成 ISO 27001: 2022 新版標準轉版驗證。
2025 年目標
2025 年目標
  • 亞太區域導入上網安全過濾及零信任網路存取,包含總部及台灣、中國、日本、韓國、馬來西亞、新加坡等區域之辦公室。
  • 資安風險評級分數達 85%。
  • 中國大陸、歐洲及北美完成 ISO 27001: 2022 新版標準轉版驗證。
2030 目標
2030 目標
  • 研華全球導入上網安全過濾及零信任網路存取。
  • 資安風險評級分數高於同業標準,評級分數維持不低於 85%。
  • 全球廠區作業取得 ISO 27001: 2022 新版標準驗證。
行動計劃
行動計劃
  • 導入整合了網路安全和存取控制的雲端架構 SASE(Security Access Service Edge),提升使用互聯網的安全和效能。
  • 強化數位資產管理機制,掌握研華全球的資安風險予以改善,並瞭解委外第三方供應商的安全狀況。
有效性評估
有效性評估
  • 導入資安風險評級工具並持續監控資安風險狀況,採取因應改善措施,逐步提升資安風險分數。
  • 通過第三方驗證公司之外部稽核,維持導入範圍內作業符合 ISO/IEC 27001 2022 標準要求。
利害關係人議合
利害關係人議合
  • 員工:提供資安必修線上課程並須完成測驗。
  • 客戶:回覆客戶的問卷及稽核,並視需求提供相關佐證紀錄。
  • 供應商及承攬商:所有供應商須填寫資安管理聲明書,主要元件及系統服務供應商須完成資安風險自評表及定期進行資安查核。
  • 股東與投資機構:透過公司年報及永續報告書揭露公司提升資安的重大行動方案及成果。
  • 合作夥伴:回覆合作夥伴之詢問,並視需求提供相關佐證紀錄。
  • 政府 / 公協會 / 媒體:回覆政府單位及相關公協會之詢問,並視需求提供相關佐證紀錄。

資訊安全政策與組織

落實資訊安全需要管理階層認知與充分支持。為了彰顯公司對於資訊安全的承諾,研華由總經理兼任資訊安全長,並建立跨部門之資訊安全治理小組,由品管及資安團隊負責推動,統籌包含電腦資訊、實體環境、產品資安、供應鏈及法規遵循等面向之資安議題。資訊安全治理小組每半年召開一次會議,檢討管理成效、資安相關議題及方向。並定期向風險管理委員會報告執行狀況,將資訊安全融入組織之風險管理之中。

資安團隊組織架構

資安團隊組織架構

研華已取得「資訊安全管理系統(ISMS)ISO / IEC 27001:2013」驗證,每年皆由外部驗證單位進行查核,2022 年7 月完成三年重審,證書持續有效,除原適用由 MTD 工程部及 IT 資訊部提供嵌入式電腦產品、工業級平面式電腦產品、工業級電腦產品、網路電腦產品、醫療電腦平台產品及工業控制產品的製造相關的資訊安全管理活動外,於2022 年擴大適用範圍至總公司資訊部機房管理及骨幹網路,同年研華歐洲及美國之資訊作業亦通過 ISO / IEC 27001:2013 驗證。

研華持續精進並擴大資訊安全管理系統適用範圍,於策略面、管理面、技術面及認知面四個面向,建立制度的標準化,不斷提升資安治理的深度及廣度,透過制度的精進有效因應業務的快速變化,近三年ISO / IEC 27001 驗證結果如下。

資訊安全管理策略

本公司參考美國國家標準暨技術研究院(NIST)制訂的網路安全框架(Cyber SecurityFramework, CSF),規劃資安發展藍圖,其框架有五大關鍵功能:識別、防護、偵測、回應與復原,主要是針對企業遭受攻擊的各個階段,也就是事前(識別和防護)、事中(偵測和回應),以及事後(復原),所需採取的措施進行管控。對於美國證券交易委員會(United States Securities and Exchange Commission, SEC)關於上市公司網路安全風險管理、治理及相關事件揭露規則,本公司辦理網路安全風險評估、具有政策及相關程序,並監督第三方服務提供商之網路安全風險,且對於發生網路安全事件時,具備應變程序及網路攻擊復原計畫。

我們亦加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊,如:台灣CISO 聯盟、臺灣電腦網路危機處理暨協調中心(TWCERT/CC);結合外部資安廠商與專家資源,持續關注新的資安資訊、技術與趨勢,強化資安防護架構與措施,以有效阻擋新型態的資安威脅。

此外,本公司持續評估內外部資安風險及趨勢,據以擬定相關因應的資安管理策略。現階段的策略著眼於降低可被攻擊面、改善資安風險可視性、提升資安治理與風險意識及強化資安韌性,2023 年資安相關行動方案及重點工作成果如後續說明。

資訊安全管理策略

提升資安治理與風險意識

研華為了強化員工的資安意識,公司已將資安納入年度必修課程,提供e-Learning 教學及線上測驗。因應日益頻繁的網路釣魚郵件攻擊,本公司也透過社交工程演練,模擬駭客的釣魚郵件,測試員工資安風險意識。此外,每季發布資安電子報,包含最新資安趨勢、近期國內外重大資安事件、重要公告等,藉此提升同仁對於資安的意識及警覺性。

提升資安治理與風險意識

強化資安韌性

考量資訊服務可能因為內外部意外災害或人為失誤受到影響,研華於林口廠區規劃異地備援,透過虛擬機Nutanix 將內湖與林口兩地互為異地備援及異地備份。當內湖機房無法提供服務時,關鍵資訊系統可由林口機房內之異地備援機制繼續提供服務。異地備援機制建置完成後,研華資訊部門於今年完成兩次災害復原演練,測試頻率為半年一次。藉以驗證整體架構與系統對於災害應變及復原程序之完整性。

此外,研華於今年導入資訊服務事件管理平台Statuspage,可視覺化集中呈現各系統服務健康狀況,強化追蹤和通報資訊服務的性能和可用性,並優化對於資訊服務發生異常時之通報處理流程。

近三年資安事件狀況

2021 年到2023 年共計發生14 次資安事件,但未對公司業務造成重大影響,亦無因機密資訊洩漏影響客戶的個資,或遭受罰款之情事。本年度共發生三起資安事件,但未對公司業務造成重大影響,亦無因機密資訊洩漏影響客戶的個資,或遭受罰款之情事。事件原因分別為雲端服務中斷、電腦病毒攻擊及設備硬體故障。遭受網路攻擊(如: 駭客, 病毒)事件影響人數1人、外部服務中斷(如: 市電, 網路連線, 雲端服務)影響人數3500 人、設備故障影響人數3500 人。

在調查事件根因之後,對於雲端服務中斷已建立處理SOP,並設備之可用性已加強監控及定期維護,降低設備故障影響業務運作之可能性。針對電腦病毒所造成之事件,則持續調校精進端點防護及防毒工具之效能,並加強人員安全意識宣導。有關產品資料安全風險或漏洞,研華有設置通報窗口,接收來自客戶或資安公司的相關通報,再轉由產品部門進行解決,修補方式會於公司官網進行公告,並回覆給通報單位。

近三年資安事件狀況
Item 2021 2022
Percentage of Employees Passing Social Engineering Tests 61.5% 79%
Item
Percentage of Employees Passing Social Engineering Tests
2021
61.5%
2022
79%

* Note: It only includes the statistics of Advantech Taiwan