鑒於資訊安全日趨重要且網路攻擊層出不窮，文曄於2022年成立專責資安部門，配置1位副總層級資安長、1名專責主管及2名專責人員，專責資安事件調查、系統漏洞揭露，以及新型態資訊安全架構的評估和導入等，主要完成事項如下：

2022年完成ISO/IEC 27001:2013、CNS 27001:2014驗證（證書有效期限至2025-10-31），藉由正規化、系統化的控制及管理，降低資訊安全事件所帶來的威脅和衝擊。
設置資安專用電子郵件，從外部接收客戶、供應商、各資安情資聯防及資訊設備、服務廠商等資安通報。
專人收集各大資安新聞、漏洞發布、零時差攻擊及漏洞利用趨勢等資訊，進行分析、紀錄及訂定事件等級；內部則針對嚴重程度訂定事件等級，由資訊部門通報窗口進行記錄，若為重大資安事件須立即通報資安長，資安部門須在目標處理時間內確認事件、排除及解決資安事件，安全事件應變單位（Incident Response team, IR team）需在事件處理完畢後進行根因分析，追蹤且記錄矯正措施之執行成效，以持續改善手法預防事件重複發生。除此之外，也將資訊安全事件嚴重程度劃分成4個等級，分別制定其回復機制與標準作業程序，加速資訊系統服務的回復時間。



資安管理防護
軟硬體與網路防護與監控
文曄設置資安專用電子郵件，從外部接收客戶、供應商、台灣電腦網路危機處理暨協調中心（TWCERT）及資訊設備、服務廠商等資安通報，且有專人定時收集各大資安新聞、漏洞發布、零時差攻擊等資訊，進行分析、紀錄及訂定事件等級；內部則針對嚴重程度訂定事件等級，由資訊部門通報窗口進行記錄，若為重大資安事件須立即通報資安長，資訊部門須在目標處理時間內排除及解決資安事件，且在事件處理完畢後進行根因分析，追蹤且記錄矯正措施之執行及驗證成效，依循PDCA手法持續改善，預防事件重複發生。
提升個人網路安全10大要點
除了提高安全意識，文曄更提供員工及供應商具體方法，提升個人網路的安全，例如：



落實個人電腦及伺服器防毒軟體端點防護，定期更新與掃描同時啟用行為分析模組保護端點安全。
外網防火牆設備具有應用程式辨識能力、入侵防護及進階威脅防護等機制，透過增加可視性與資安數據監控，強化防禦能力。
內網防火牆透過微分段，正向表列可存取服務，以阻隔不當存取降低風險暴露。
身分識別模組區分員工及訪客的身分，隔離存取路徑。
郵件防護除了基本垃圾郵件辨識外，另增加進階威脅防護模組，強化信件內容辨識能力，有效阻隔垃圾或釣魚信件，防護機敏資料遭竊風險。
導入人工智慧機器學習之端點／網路偵測回應防護機制（EDR/NDR），自主學習建立正常行為模型，進而從中發現與阻斷異常行為。
與廠商簽定SOC及MDR服務，以7×24全天候監控與分析資安威脅事件。
以弱點掃描系統隨時掌握系統漏洞，且持續追蹤及改善。
導入多因子驗證，降低帳密被竊取的風險。
持續社交工程演練及教育訓練，提升員工資訊安全意識。



系統備援與資安事件管理 
遭惡意入侵時的備援與回復方案
文曄已全面建立網路與電腦之相關資安防護措施，但無論多完善的防護措施，都無法100％保證企業核心系統能完全避免黑天鵝或灰犀牛事件，故增加企業韌性，迅速恢復系統運作將是重中之重。因此，除不斷加強資訊安全軟、硬體的投資外，也持續強化企業持續運營能力，使資安事件發生時能夠在最短時間恢復營運。

持續強化資安防護能力，成為第一級營運能力的企業
持續交付能力是文曄營運的基礎，文曄致力於提供符合機密性、完整性及可用性的產品和服務。為成為業界第一流企業，應用與導入國際資安框架，持續強化各項安全管控措施，以提供高度資安防護能力。因此，持續從點線面評估資訊安全防護機制，研擬各種技術組合，以縮短系統修復時間，同時透過導入資安管理系統驗證和紅隊演練等，透過第三方機構之協助，檢視和升級系統防護。2022年外部發生多次電力無預警中斷之情形，文曄為預防實際遭受突然停電之情況，進行電力異常演練，確保緊急發電機能及時啟動，各項設施與系統能維持正常運作，經演練後確認緊急應變程序均屬允當，各項設施與系統亦均能正常運作。
透過強化資訊安全防護和員工的安全意識，於2022年未發生敏感資訊洩露或重大資訊服務中斷事件，且沒有客戶或供應商的財務損失。
回應利害關係人資安關切
文曄透過每年與客戶、供應商定期之資安自評問卷或主管機關針對資安管理進行評估或詢問特定之資安議題，2022年收到客戶關切議題主要為重大漏洞處理、各項安全管控措施作為、ISO 27001驗證與永續經營-資安治理等，全數由資安部門進行回覆，以達成利害關係人期望與要求。