增強資訊安全

設立專責部門,強化資安管理

鑒於資訊安全日趨重要且網路攻擊層出不窮,文曄於2022年成立專責資安部門,配置1位副總層級資安長、1名專責主管及2名專責人員,專責資安事件調查、系統漏洞揭露,以及新型態資訊安全架構的評估和導入等,主要完成事項如下:

1.2022年完成ISO/IEC 27001:2013、CNS 27001:2014驗證(證書有效期限至2025-10-31),藉由正規化、系統化的控制及管理,降低資訊安全事件所帶來的威脅和衝擊。
2.設置資安專用電子郵件,從外部接收客戶、供應商、各資安情資聯防及資訊設備、服務廠商等資安通報。
3.專人收集各大資安新聞、漏洞發布、零時差攻擊及漏洞利用趨勢等資訊,進行分析、紀錄及訂定事件等級;內部則針對嚴重程度訂定事件等級,由資訊部門通報窗口進行記錄,若為重大資安事件須立即通報資安長,資安部門須在目標處理時間內確認事件、排除及解決資安事件,安全事件應變單位(Incident Response team, IR team)需在事件處理完畢後進行根因分析,追蹤且記錄矯正措施之執行成效,以持續改善手法預防事件重複發生。除此之外,也將資訊安全事件嚴重程度劃分成4個等級,分別制定其回復機制與標準作業程序,加速資訊系統服務的回復時間。

垃圾郵件防護成功攔截垃圾郵件

0

端點攔截威脅事件

0

社交工程演練信件

0

資安專業訓練與證照

0

全體員工資安意識訓練

0

威脅郵件防護

0

修補系統及軟體漏洞

0

最近一次演練釣魚命中率

0.

0

%

專業訓練時數

0

小時

核心系統相關人員與主管強化訓練

0

通過ISO 27001驗證,強化員工資安意識

疫情席捲全球,改變人們生活型態,也改變工作型態,在家上班或行動辦公成為常態,致使員工脫離企業內網的防護,成為企業資安的潛在破口,強化員工資安意識已成為資訊安全中重要的一環。2021年導入社交工程演練,將安全意識融入到日常工作中,以期及早發現威脅進行處置。2022年持續社交工程演練及教育訓練,每月隨機選定範本進行社交工程演練,針對資安意識不足之同仁,建立複訓、通報直屬主管且定期追蹤訓練成果。2022年發出社交工程演練信件118,297封,員工於演練信件遭釣中比例從2021年1.1%降至2022年0.7%。此外,2022年10月進行全集團在職員工「資安意識訓練」回訓,應訓2,552名(因2022年9月剛併入世健科技,尚在整合中,未將其所屬員工納入受訓名單),扣除派訓後於課程結束過程中申請留職停薪、產假與離職人員19名,共2,533位員工完成課程且通過測驗(通過率100%),另亦完成核心系統相關人員及主管之強化訓練1場。

駭客攻擊入侵手法日新月異,除不斷探索系統漏洞,甚至運用零時差攻擊,在系統漏洞尚未有修補前駭侵系統,同時透過社交工程方式竊取員工帳密,試圖連入公司內網,種種方式已非傳統特徵碼防護所能阻擋。文曄自從導入具人工智慧機制的網路偵測回應(NDR)與端點偵測回應(EDR),NDR在網路端出現異常行為偏差時,進行第一線阻斷隔離防護;當網路端無法及時辨識及阻攔,使威脅進入到端點時,則透過EDR機制再行阻斷隔離防護。

資安威脅沒有假日,與協力廠商簽訂資訊安全監控中心(Security Operation Center, SOC)與偵測及處理代管(Managed Detection Response, MDR)等託管服務,以7×24不間斷機制,隨時監控資安威脅事件;在ISO 27001之基礎下,同時藉由ISO 27005資安風險管理,識別可能威脅,透過安全設計原則及縱深防禦,從管理面、資料面、端點防護、應用、網路、第三方供應等面向進行逐步強化。

ISO資安風險管理團隊。

資安管理防護

軟硬體與網路防護與監控
文曄設置資安專用電子郵件,從外部接收客戶、供應商、台灣電腦網路危機處理暨協調中心(TWCERT)及資訊設備、服務廠商等資安通報,且有專人定時收集各大資安新聞、漏洞發布、零時差攻擊等資訊,進行分析、紀錄及訂定事件等級;內部則針對嚴重程度訂定事件等級,由資訊部門通報窗口進行記錄,若為重大資安事件須立即通報資安長,資訊部門須在目標處理時間內排除及解決資安事件,且在事件處理完畢後進行根因分析,追蹤且記錄矯正措施之執行及驗證成效,依循PDCA手法持續改善,預防事件重複發生。
提升個人網路安全10大要點
除了提高安全意識,文曄更提供員工及供應商具體方法,提升個人網路的安全,例如:
    1.落實個人電腦及伺服器防毒軟體端點防護,定期更新與掃描同時啟用行為分析模組保護端點安全。
    2.外網防火牆設備具有應用程式辨識能力、入侵防護及進階威脅防護等機制,透過增加可視性與資安數據監控,強化防禦能力。
    3.內網防火牆透過微分段,正向表列可存取服務,以阻隔不當存取降低風險暴露。
    4.身分識別模組區分員工及訪客的身分,隔離存取路徑。
    5.郵件防護除了基本垃圾郵件辨識外,另增加進階威脅防護模組,強化信件內容辨識能力,有效阻隔垃圾或釣魚信件,防護機敏資料遭竊風險。
    6.導入人工智慧機器學習之端點/網路偵測回應防護機制(EDR/NDR),自主學習建立正常行為模型,進而從中發現與阻斷異常行為。
    7.與廠商簽定SOC及MDR服務,以7×24全天候監控與分析資安威脅事件。
    8.以弱點掃描系統隨時掌握系統漏洞,且持續追蹤及改善。
    9.導入多因子驗證,降低帳密被竊取的風險。
    10.持續社交工程演練及教育訓練,提升員工資訊安全意識。

系統備援與資安事件管理

遭惡意入侵時的備援與回復方案
文曄已全面建立網路與電腦之相關資安防護措施,但無論多完善的防護措施,都無法100%保證企業核心系統能完全避免黑天鵝或灰犀牛事件,故增加企業韌性,迅速恢復系統運作將是重中之重。因此,除不斷加強資訊安全軟、硬體的投資外,也持續強化企業持續運營能力,使資安事件發生時能夠在最短時間恢復營運。

持續強化資安防護能力,成為第一級營運能力的企業

持續交付能力是文曄營運的基礎,文曄致力於提供符合機密性、完整性及可用性的產品和服務。為成為業界第一流企業,應用與導入國際資安框架,持續強化各項安全管控措施,以提供高度資安防護能力。因此,持續從點線面評估資訊安全防護機制,研擬各種技術組合,以縮短系統修復時間,同時透過導入資安管理系統驗證和紅隊演練等,透過第三方機構之協助,檢視和升級系統防護。2022年外部發生多次電力無預警中斷之情形,文曄為預防實際遭受突然停電之情況,進行電力異常演練,確保緊急發電機能及時啟動,各項設施與系統能維持正常運作,經演練後確認緊急應變程序均屬允當,各項設施與系統亦均能正常運作。

透過強化資訊安全防護和員工的安全意識,於2022年未發生敏感資訊洩露或重大資訊服務中斷事件,且沒有客戶或供應商的財務損失。

回應利害關係人資安關切

文曄透過每年與客戶、供應商定期之資安自評問卷或主管機關針對資安管理進行評估或詢問特定之資安議題,2022年收到客戶關切議題主要為重大漏洞處理、各項安全管控措施作為、ISO 27001驗證與永續經營-資安治理等,全數由資安部門進行回覆,以達成利害關係人期望與要求。

相關閱讀

人才招募

以人為本,員工向心力是公司最大的前進動力 文曄深知「人」才是企業最重要的資本,公司最大的前進動力來自於向心力強的員工!為創造員工更好的工作環境,以及吸

閱讀更多 »

健康管理

預防與促進,注重每位員工健康 文曄目前在台灣地區設有專職健康管理師,規畫與推動員工之健康管理,除了協助同仁健康檢查諮詢與建議之外,每月亦邀請醫師至公司

閱讀更多 »

氣候變遷因應

面對氣候變遷,文曄的策略與管理 氣候變遷是全球各角色需要共同面對的課題,文曄身為半導體業之通路商,營運據點、工作夥伴、原廠供應商等遍布世界各地,皆會受

閱讀更多 »

能源管理

節能省電,從採購綠電、綠能做起 2022年文曄能源總耗用量為16,271 GJ,增加之耗用量係因統計範圍增加中國與韓國之營運據點所致。最主要之能源為外

閱讀更多 »