重大主題管理方針
資訊安全管理
| 重大性 | |
|---|---|
| 重大性 | 隨著網路攻擊事件威脅不斷,資訊安全已成為全球企業營運之主要風險之一,包括道瓊永續指數(DJSI)在內的 ESG 評級機構皆將資安管理納入評比的項目,顯然成為企業營運極需重視的課題。研華為全球物聯網領導廠商,資訊安全議題涉及公司營運穩定、產品安全、隱私等層面,對於研華的品牌價值,員工、客戶及投資人等利害關係人而言極為重要。 |
| 管理策略 | |
| 管理策略 |
|
| 政策或承諾 | |
| 政策或承諾 | 保障公司業務持續營運,有效降低因人為疏失、駭客攻擊或天然災害等導致之資訊資產遭竊、不當使用、洩漏或破壞等風險,以確保對股東、客戶的利益。 |
| 衝擊描述 | |
| 衝擊描述 | 研華的資訊安全管理主題在 2022 年無對公司及客戶或環境、經濟、社會造成負面衝擊。期間本公司共有 1 起資安事件 ( 詳見第二章 2.2 資訊安全管理 )。研華會持續提升資訊安全管理品質,以避免未來對客戶、供應商、員工個資如遭盜取會負面衝擊影響生產或營運活動或發生相關賠款或賠償。 |
| 2022 達成狀況 | |
| 2022 達成狀況 |
|
| 2023 目標 | |
| 2023 目標 |
|
| 2025 目標 | |
| 2025 目標 |
|
| 行動計劃 | |
| 行動計劃 |
|
| 有效性評估 | |
| 有效性評估 | 每半年召開 Cyber security Review Meeting 及資安治理小組會議,持續追蹤年度資安目標及重大資安專案執行進度。 |
| 利害關係人議合 | |
| 利害關係人議合 | 詳見第二章 2.2 資訊安全管理改善計畫。 |
資訊安全政策與組織
資訊安全是企業營運與風險管理的一環。落實資訊安全需要管理階層認知與充分支持。研華的資訊安全政策由總經理核定,訂定資訊安全目標,並考慮關鍵系統與重要設備的機密性、完整性、可用性,且每年至少一次定期量測與審查各指標項目,確保績效指標落實的有效性。
為了彰顯公司對於資訊安全的承諾,研華由總經理陳清熙兼任資訊安全長,並建立跨部門之資訊安全治理小組,由品管及資安團隊負責推動,統籌包含電腦資訊、實體環境、產品資安、供應鏈及法規遵循等面向之資安議題,並定期向風險管理委員會報告執行狀況,將資訊安全融入組織之營運管理之中。
資安團隊組織架構
研華已取得「資訊安全管理系統(ISMS)ISO / IEC 27001:2013」驗證,每年皆由外部驗證單位進行查核,2022 年7 月完成三年重審,證書持續有效,除原適用由 MTD 工程部及 IT 資訊部提供嵌入式電腦產品、工業級平面式電腦產品、工業級電腦產品、網路電腦產品、醫療電腦平台產品及工業控制產品的製造相關的資訊安全管理活動外,於2022 年擴大適用範圍至總公司資訊部機房管理及骨幹網路,同年研華歐洲及美國之資訊作業亦通過 ISO / IEC 27001:2013 驗證。
研華持續精進並擴大資訊安全管理系統適用範圍,於策略面、管理面、技術面及認知面四個面向,建立制度的標準化,不斷提升資安治理的深度及廣度,透過制度的精進有效因應業務的快速變化,近三年ISO / IEC 27001 驗證結果如下。
為確保工業自動化和控制系統安全(Industrial Automation and Control System, IACS),各國、各行業制定政策時,廣泛採納IEC 62443 中的概念、方法、模型。其中,IEC 62443-4-1 和IEC 62443-4-2 代表系統組件符合安全要求,確保產品從開發階段到量產階段,不論是流程或是產品驗證皆符合安全規範。於2022 年,本公司邀請資安廠商以IEC 62443-4-2,對RMA 產品維修部門之作業進行審查,並對發現結果進行檢討與改善,以期減少可能之資安風險。
資安防護機制與檢測
研華在安全防護措施方面,採用多層次縱深防禦架構,佈署防火牆、防毒、端點防護、特權帳號管理、雙因子認證等防護機制,並委請優良資安廠商,協同進行系統弱點掃描、滲透測試及網站安全等多項檢測及評估,檢視現行資安防禦機制之有效性,發現並修補資安漏洞及弱點,以降低潛在的資安風險。研華今年度亦舉辦紅藍隊攻防演練,委請資安廠商在不影響營運的前提下,以模擬駭客攻擊的手法驗證廠區的資安防護機制有效性,同時提高IT 人員的資安意識,並藉由演練中瞭解駭客攻擊手法及因應方式,增進相關知識與技能,並藉由實際演練彰顯公司對於資訊安全的重視,強化客戶及合作廠商對於公司的信心。
資安情資與事件監控
研華為強化內部端點及網路安全監控,導入了MDR 威脅偵測應變服務,全天持續監控公司內部超過8700 台電腦及主機之弱點及異常狀況。資安專業廠商以 AI 技術結合全球威脅情資,提供資安事件告警監控、威脅追蹤、事件調查、修復計劃、定期報表以及全天候監控等,協助公司在面臨資安事件時精準且迅速地判斷惡意行為感染途徑,進而採取正確的處置,強化並加速偵測與回應機制。
人員資安意識提升
人員安全意識是資安防護中極重要的一環。公司已將資安宣導課程納入年度必修課程,針對一般員工,透過線上課程或面授方式進行,主要的課程內容為資安案例分享、資安基本原則、員工應遵守資安規定等,2022 年全公司含海外RBU 共完成 6825 人次的員工資安宣導課程。
| 項目 | 直接人員 | 間接人員 |
|---|---|---|
| 2022 年員工資安宣導完課比率 | 100% | 91% |
| 項目 |
|---|
| 2022 年員工資安宣導完課比率 |
| 直接人員 |
| 100% |
| 間接人員 |
| 91% |
此外,透過社交工程演練模擬駭客的釣魚郵件,檢驗員工的資安風險意識,來提升同仁對於資安的意識及警覺性,對比2021年之測試結果,2022年員工通過測試之比率已有大幅上升。
| Item | 2021 | 2022 |
|---|---|---|
| Percentage of Employees Passing Social Engineering Tests | 61.5% | 79% |
| Item |
|---|
| Percentage of Employees Passing Social Engineering Tests |
| 2021 |
| 61.5% |
| 2022 |
| 79% |
系統備援與災害復原
為避免重要資訊系統因重大災難事件而導致服務中斷,確保公司營運與重要業務的持續運作,研華2022 年開始於林口廠區建置了系統異地備援機制, 透過Nutanix 虛擬機制建立內湖機房與林口互為異地備援加上異地資料備份,確保公司的關鍵資訊系統在災害發生後,可以快速回復至企業正常或可接受的營運水準,以確保公司的營運不中斷。對於資料可用性的維護,2022 年研華於總部及各海外RBU 推展了3-2-1 資料備份機制,對於重要的系統資料, 採取以下備份:
- 至少 3 份資料備份:在原始檔案資料損壞或遺失時,得以將檔案還原。
- 存放 2 種不同儲存媒介:利用不同儲存媒介的優缺點互補,預防不同類型的危險。
- 至少 1 份異地備份:降低任何天災、火災、失竊等狀況發生時,所有儲存裝置同時遭到破壞或竊取的風險。
此外,資訊處針對關鍵資訊系統每年辦理至少一次災害復原演練。以PLM系統為例,2022年以快照備份的資料進行演練,備份還原前後先將DB 目前所有資料筆數匯出,演練結果確認資料無損。2023 年林口異地備援機制建置完成後,將進行內湖- 林口PLM DR 控制權完全移轉演練。
資訊安全投資
研華持續投入資源於資訊安全相關領域,2021年、2022年投入資安軟硬體費用皆超過3000 萬。除了人力資源外,資訊安全投資事項包含強化資安防禦設備、情資監控分析、系統備援與教育訓練等,全面提升資訊安全能力及完善資安防護。
改善計劃
2022年本公司無因資訊安全事件造成公司及顧客損失。期間本公司共有1 起資安事件* 影響少量員工的公司資訊如姓名、部門、郵件帳號於搜尋引擎揭露。主要原因為人員於開發程式中缺漏驗證機制,除緊急應變處理外,對於事件發生之原因進行分析後皆已完成改善。
資安事件清單
| 資訊安全事件類型 | 事件件數 | 改善方式 | 改善結果 |
|---|---|---|---|
| 人員操作失誤 | 1 | 立即修改網站程式增加身分驗證機制,經測試後證實已改善此安全漏洞 | 針對此事件已對於程式開發安全程序加強宣導及查核,已無類似事件再次發生 |
| 資訊安全事件類型 |
|---|
| 人員操作失誤 |
| 事件件數 |
| 1 |
| 改善方式 |
| 立即修改網站程式增加身分驗證機制,經測試後證實已改善此安全漏洞 |
| 改善結果 |
| 針對此事件已對於程式開發安全程序加強宣導及查核,已無類似事件再次發生 |
客戶隱私權保護
為了讓所有人能夠安心使用研華的各項服務,研華制定有隱私權保護政策,符合個人資料保護法規與General Data Protection Regulation (GDPR),說明如何蒐集、使用個人資料,並進一步以保障相關權益。2022年,委託資誠聯合會計師事務所進行個人資料保護合規性評估。並於後正式成立個人資料保護小組預計進一步建立更細緻化的個人資料保護相關內部程序規則。
個人資料保護小組架構
研華隱私權政策涵蓋的範圍包括以下內容:研華的隱私權涵蓋對象包括但不限於員工、客戶、供應商以及使用網站其他各項服務的任何第三方。相關政策請點擊連結查看。