6. Day6：2022年版研華永續報告書
   P23
   資訊安全管理
   重大性 隨著網路攻擊事件威脅不斷，資訊安全已成為全球企業營運之主要風險之一，包括道瓊永續指數（DJSI）在內的ESG 評級機構皆將資安管理納入評比的項目，顯
   然成為企業營運極需重視的課題。研華為全球物聯網領導廠商，資訊安全議題涉及公司營運穩定、產品安全、隱私等層面，對於研華的品牌價值，員工、客戶及投
   資人等利害關係人而言極為重要。
   管理策略  改善資安風險可視性。
    降低可被攻擊面。
    提升資安治理與風險意識。
    強化應用系統韌性。
   政策或承諾 保障公司業務持續營運，有效降低因人為疏失、駭客攻擊或天然災害等導致之資訊資產遭竊、不當使用、洩漏或破壞等風險，以確保對股東、客戶的利益。
   衝擊描述 研華的資訊安全管理主題在2022 年無對公司及客戶或環境、經濟、社會造成負面衝擊。期間本公司共有1 起資安事件( 詳見第二章2.2 資訊安全管理)。研華會持續提升資訊安全管理品質，以避免未來對客戶、供應商、員工個資如遭盜取會負面衝擊影響生產或營運活動或發生相關賠款或賠償。
   2022 達成狀況 目標達成：
    總公司 ISO 27001擴大適用範圍至總公司資訊部機房管理及骨幹網路。
    崑山、北美及歐洲三大區域全數通過 ISO27001 認證。
    SAP ERP、Oracle PLM 與廠區 MES 於 working hour 可用度達 99.5%。達成狀況如下：SAP : 99.9%、PLM : 99.9%、MES : 100%。
    2022年總公司完成林口廠區IT及OT環境資安紅隊演練。
    2022年於林口建置異地備援機制，關鍵應用系統全數納入。
    2022年期間無任何關於商業資訊洩漏案件。
    2022年期間無未經許可的網段連線。
   2023 目標  Microsoft安全分數達 60%。
    端點安全防護 (EDR) 部署涵蓋率達 80%。
    系統弱點修補工具部署涵蓋率達 90%。
    年度資安宣導課程完成率達 90%。
    關鍵應用系統可用性達 99.9%。
   2025 目標  Microsoft 安全分數達80%。
    端點安全防護(EDR)部署涵蓋率達90%。
    系統漏洞修補工具部署涵蓋率達98%。
    年度資安宣導課程完成率達99%。
    關鍵應用系統可用性達99.95%。
   行動計劃  關鍵應用系統建置異地備援機制。
    ISO 27001 擴大適用範圍至總公司資訊部機房管理及骨幹網路、
    北美及歐洲區之資訊作業。
    林口廠區 IT及 OT環境辦理資安紅隊演練。
   有效性評估 每半年召開Cyber security Review Meeting 及資安治理小組會議，持續追蹤年度資安目標及重大資安專案執行進度。
   利害關係人
   議合 詳見第二章2.2 資訊安全管理改善計畫。
   P52
   資訊安全政策與組織
   資訊安全是企業營運與風險管理的一環。落實資訊安全需要管理階層認知與充分支持。研華的資訊安全政策由總經理核定，訂定資訊安全目標，並考慮關鍵系統與重要設備的機密性、完整性、可用性，且每年至少一次定期量測與審查各指標項目，確保績效指標落實的有效性。
   為了彰顯公司對於資訊安全的承諾，研華由總經理陳清熙兼任資訊安全長，並建立跨部門之資訊安全治理小組，由品管及資安團隊負責推動，統籌包含電腦資訊、實體環境、產品資安、供應鏈及法規遵循等面向之資安議題，並定期向風險管理委員會報告執行狀況，將資訊安全融入組織之營運管理之中。
   為確保工業自動化和控制系統安全(Industrial Automation and Control System, IACS)，各國、各行業制定政策時，廣泛採納IEC 62443 中的概念、方法、模型。其中，IEC 62443-4-1 和IEC62443-4-2 代表系統組件符合安全要求，確保產品從開發階段到量產階段，不論是流程或是產品驗證皆符合安全規範。於2022 年，本公司邀請資安廠商以IEC 62443-4-2，對RMA 產品維修部門之作業進行審查，並對發現結果進行檢討與改善，以期減少可能之資安風險。

資安防護機制與檢測
研華在安全防護措施方面，採用多層次縱深防禦架構，佈署防火牆、防毒、端點防護、特權帳號管理、雙因子認證等防護機制，並委請優良資安廠商，協同進行系統弱點掃描、滲透測試及網站安全等多項檢測及評估，檢視現行資安防禦機制之有效性，發現並修補資安漏洞及弱點，以降低潛在的資安風險。
研華今年度亦舉辦紅藍隊攻防演練，委請資安廠商在不影響營運的前提下，以模擬駭客攻擊的手法驗證廠區的資安防護機制有效性，同時提高IT 人員的資安意識，並藉由演練中瞭解駭客攻擊手法及因應方式，增進相關知識與技能，並藉由實際演練彰顯公司對於資訊安全的重視，強化客戶及合作廠商對於公司的信心。

資安情資與事件監控
研華為強化內部端點及網路安全監控，導入了MDR 威脅偵測應變服務，全天持續監控公司內部超過8700 台電腦及主機之弱點及異常狀況。資安專業廠商以 AI 技術結合全球威脅情資，提供資安事件告警監控、威脅追蹤、事件調查、修復計劃、定期報表以及全天候監控等，協助公司在面臨資安事件時精準且迅速地判斷惡意行為感染途徑，進而採取正確的處置，強化並加速偵測與回應機制。

人員資安意識提升
人員安全意識是資安防護中極重要的一環。公司已將資安宣導課程納入年度必修課程，針對一般員工，透過線上課程或面授方式進行，主要的課程內容為資安案例分享、資安基本原則、員工應遵守資安規定等，2022 年全公司含海外RBU 共完成 6825 人次的員工資安宣導課程。
此外，透過社交工程演練模擬駭客的釣魚郵件，檢驗員工的資安風險意識，來提升同仁對於資安的意識及警覺性，對比2021 年之測試結果，2022 年員工通過測試之比率已有大幅上升。
系統備援與災害復原
為避免重要資訊系統因重大災難事件而導致服務中斷，確保公司營運與重要業務的持續運作，研華2022 年開始於林口廠區建置了系統異地備援機制，透過Nutanix 虛擬機制建立內湖機房與林口互為異地備援加上異地資料備份，確保公司的關鍵資訊系統在災害發生後，可以快速回復至企業正常或可接受的營運水準，以確保公司的營運不中斷。對於資料可用性的維護，2022 年研華於總部及各海外RBU 推展了3-2-1 資料備份機制，對於重要的系統資料，採取以下備份:
 至少 3 份資料備份：在原始檔案資料損壞或遺失時，得以將檔案還原。
 存放 2 種不同儲存媒介：利用不同儲存媒介的優缺點互補，預防不同類型的危險。
 至少 1 份異地備份：降低任何天災、火災、失竊等狀況發生時，所有儲存裝置同時遭到破壞或竊取的風險。
此外，資訊處針對關鍵資訊系統每年辦理至少一次災害復原演練。以PLM 系統為例，2022 年以快照備份的資料進行演練，備份還原前後先將DB 目前所有資料筆數匯出，演練結果確認資料無損。2023 年林口異地備援機制建置完成後，將進行內湖- 林口PLM DR 控制權完全移轉演練。
資訊安全投資
研華持續投入資源於資訊安全相關領域，2021 年、2022 年投入資安軟硬體費用皆超過3000 萬。除了人力資源外，資訊安全投資事項包含強化資安防禦設備、情資監控分析、系統備援與教育訓練等，全面提升資訊安全能力及完善資安防護。
亮點專案一
研華導入國際資安管理標準ISO / IEC 27001 已有三年，缺失/ 觀察事項都呈現減少趨勢，表示ISO 27001 的PDCA 有持續落實執行，公司整體的資訊安全架構也越來越穩定。
2022 年總公司擴大適用範圍至總公司資訊部機房管理及骨幹網路，北美及歐洲區域也全數通過，連同最先導入的大陸昆山廠區，自此台灣及海外主要區域皆已取得ISO 27001 認證。
亮點專案二
“不知攻，焉知防”紅隊演練是在不影響企業營運的前提下，並在有限的時間內，進行模擬入侵攻擊，找出企業的資安弱點。2022 年研華以林口廠區IT 及OT 環境為範圍，委請資安專業廠商安華聯網辦理紅隊演練，模擬駭客潛入內部網路並試圖控制系統操作權限。
此次演練之效益包含: 以接近實戰方式驗證現有資安防禦的有效性、使內部人員瞭解駭客攻擊手法，並學習因應方式，發掘潛在的資安弱點並進行修補，避免遭到駭客的利用，演練結果並作為後續改善資安架構之參考。

改善計劃
2022 年本公司無因資訊安全事件造成公司及顧客損失。期間本公司共有1 起資安事件 影響少量員工的公司資訊如姓名、部門、郵件帳號於搜尋引擎揭露。主要原因為人員於開發程式中缺漏驗證機制，除緊急應變處理外，對於事件發生之原因進行分析後皆已完成改善。
資訊安全事件類型 事件件數 改善方式 改善結果
人員操作失誤 1 立即修改網站程式增加身分驗證
機制，經測試後證實已改善此安
全漏洞 針對此事件已對於程式開發安全
程序加強宣導及查核，已無類似
事件再次發生
P71
資安或駭客事件  SAP 伺服器移至外部 IDC，推動林口異地備援機制
 推動防火牆政策分析工具  3-2-1 資料備份機制推展至主要海外區域
 強化資安教育訓練，以及社交信件工程演練
P75
亮點案例二
研華充電樁助力南韓城市節能
研華協助充電樁業者快速整合應用架構布建於市場，加速電動車的普及。韓國是目前全球電動車充電樁建置數量排名第四的國度，充電樁中的主機板更是核心關鍵，在韓國有超過7 成的充電樁內的電腦主機板來自研華製造，我們提供無畏氣候之產品、軟體資安、遠端控制管理等套件與服務。在年度重大績效上， 2022 年達成3 個專案量產，總出貨量達2,087 套。
P138
項目 內容概述 參與對象 涵蓋率
資安宣導課程 常見的資安風險與案例、資安基本原則、員工應遵守的資安規定等資訊安全相關內容，員工每年定期以線上課程進行訓練。 一般員工( 間接員工) 涵蓋99.8% 台灣間接員工( 不包含直接員工)
P164
關注族群 議題鑑別 人權議題現況 減緩/ 管理措施 目標管理 主動揭露位置
員工 隱私權 適用全球
員工行為守則( 身分保護與防止報復 & 資料之保密) 適用全球
 年度資安線上教育訓練
 為提升 VPN 連線安全，請同仁安
 裝Forescout 資安軟體 適用全球
沒有員工與客戶的隱私資料外流 適用全球
 研華官網人權政策
 員工行為守則
 個人資料保護管理辦法