16. Day16：2021年版文曄科技永續報告書
    https://www.wtmec.com/corporate-sustainability/corporate-social-responsibility-report/

P18
全集團資安認知完訓率 100%
P23
風險類型有哪些？文曄如何管理？
資訊安全風險
資訊資產可能遭受不可承受的風險，而無法確保資訊之機密性、完整性與可用性，包括未經授權者，仍可存取資訊、無法確保資訊內容及資訊處理方法為正確而且完整、經授權的使用者當需要時，無法及時存取資訊及使用相關的資產等，而造成可能之損失。
2021/11/05 資訊系統安全性提升及2022年資安計畫提請董事會決議通過

P24
資訊安全
文曄導入資安意識教育訓練後，配合每個月隨機選定範本進行社交工程演練，容易被釣魚的使用者比例已從一開始高於業界平均的7.1%，降到了1.1%。演練後誤觸連結之同仁，再次派訓以強化認知，以持續改善誤觸連結之情形。
加強資安防護能力成為第一級營運能力的企業
將產品準時交付給客戶是文曄營運的基礎，系統停擺將造成延宕出貨或無法出貨的狀況，文曄自我期許成為產業界具備第一級營運能力的企業，而高度資安防護能力是提供優質服務的基石，因此持續從點線面評估資訊安全防護機制，且研擬各項技術的搭配來縮短系統修復時間，透過國際認證及紅隊演練等第三方機構來協助審視。經強化各項資訊安全防護與員工之安全意識，2021年未發生敏感資訊洩露之情形，且無重大之資訊服務中斷情形，造成與客戶或供應商營運活動之財務損失。
2021年文曄資訊安全績效
垃圾郵件防護 1,603,684封
威脅郵件防護 582,360封
端點攔截威脅事件 122,164個
資安意識教育訓練 2場
最近一次演練釣魚命中率 1.1%
社交工程演練信件 38,507封
修補系統及軟體漏洞 373個

設立專責部門，強化資安管理
鑒於資訊安全日趨重要且網路攻擊層出不窮，文曄將於2022年成立專責資安部門，配置1位專責主管及2位專責人員，專責資安事件調查、系統漏洞揭露，以及新型態資訊安全架構的評估和導入等。另外，亦將評估ISO 27001的導入，藉由正規化、系統化的控制及管理，降低資訊安全事件所帶來的威脅和衝擊。
文曄設置資安專用電子郵件，從外部接收客戶、供應商、台灣電腦網路危機處理暨協調中心（TWCERT）及資訊設備、服務廠商等資安通報，且有專人定時收集各大資安新聞、漏洞發布、零時差攻擊等資訊，進行分析、紀錄及訂定事件等級；內部則針對嚴重程度訂定事件等級，由資訊部門通報窗口進行記錄，若為重大資安事件須立即通報營運長，資訊部門須在目標處理時間內排除及解決資安事件，且在事件處理完畢後進行根因分析，追蹤且記錄矯正措施之執行及驗證成效，依循PDCA手法持續改善，預防事件重複發生。
除此之外，也將資訊安全事件嚴重程度劃分成數個等級，分別制定其回復機制與標準作業程序，加速資訊系統服務的回復時間。
建立員工的安全意識
疫情席捲全球，改變人們生活型態，也改變工作型態，在家上班或行動辦公成為常態，致使員工脫離企業內網的防護，成為企業資安的潛在破口，強化員工資安意識已成為資訊安全中重要的一環。
2021年下半年導入員工資訊安全意識培訓計畫，規畫網路釣魚基礎課程與發現網路釣魚遊戲課程，兩項課程除了倉管人員100人，因其沒有個人電腦可使用且未提供公司電子郵件而未派訓之外，其餘開課時點之所有員工皆列為應訓人員，總應訓人次共4,205人次，除7人次於課程開立期間離職，2021年實際已完訓4,198人次（完訓率100%）。透過影片講解及互動式教學，提升員工資訊安全的知識及認知，且透過持續的社交工程演練，將安全意識融入到日常工作中。

2021年文曄資訊安全意識教育訓練及宣導重點
釣魚郵件基本知識 教導員工釣魚郵件的基本知識、為什麼網路釣魚是件很嚴重的事、如何避免落入圈套等
發現網路釣魚遊戲 透過互動式教學引導員工辨識釣魚郵件
文曄導入資安意識教育訓練後，配合每個月隨機選定範本進行社交工程演練，容易被釣魚的使用者比例已從一開始高於業界平均的7.1%，降到了1.1%。演練後誤觸連結之同仁，再次派訓以強化認知，以持續改善誤觸連結之情形。

P25
提升個人網路安全10大要點
除了提高安全意識，文曄更提供員工及供應商具體方法，提升個人網路的安全，例如：

1. 落實個人電腦及伺服器防毒軟體端點防護，啟用行為分析模組保護端點安全。
2. 外網防火牆設備具有應用程式辨識能力、入侵防護及進階威脅防護等機制，強化外部攻擊行為的防禦能力。
3. 內網防火牆正向表列可存取服務，以阻隔風險暴露。
4. 身分識別模組區分員工及訪客的身分，隔離存取路徑。
5. 垃圾郵件防護除了基本垃圾郵件辨識外，另增加進階威脅防護模組，強化釣魚信件內容辨識能力，以防護機敏資料騙取行為。
6. 導入人工智慧機器學習之端點／網路偵測回應防護機制（EDR/NDR），自主學習建立正常行為模型，進而從中發現並阻斷異常行為。
7. 與廠商簽定資訊安全監控中心（Security Operation Center,SOC）、偵測及處理代管（Managed Detection Response,MDR）服務，以7x24全天候監控與分析資安威脅事件。
8. 以弱點掃描系統隨時掌握系統漏洞，且持續追蹤及改善。
9. 導入二次驗證，降低帳號被竊取的風險。
10. 持續社交工程演練及教育訓練，提升員工資訊安全意識。

遭惡意入侵時的備援與回復方案
文曄已全面建立網路與電腦之相關資安防護措施，但無論多完善的防護措施，都無法100%保證企業重要功能的電腦系統能完全避免來自任何第三方入侵攻擊造成的系統癱瘓。在遭遇嚴重的入侵事件時，系統可能無法運作，導致無法出貨，造成營運中斷或延誤出貨而須賠償客戶的損失，故迅速恢復系統運作將是重中之重。因此，除不斷加強資訊安全軟硬體的投資外，也持續強化備援措施，讓意外發生時能夠在最短時間恢復營運。

系統遭受攻擊時的備援措施

1. 本地資料快照：在硬體未受損壞的狀況下，得以最快方式復原遭受破壞的資料。
2. 異地抄寫：30公里以外的地點建立備援中心，即時抄寫資料，同時建立異地快照雙重防護。
3. 資料備份異地存放：每日全備份並將備份資料取出存放到異地。
4. 定期演練：模擬主系統發生事故，將主資料中心切換到異地運作。

引進最新人工智慧NDR與EDR
駭客攻擊入侵手法日新月異，除了不斷探索系統漏洞，甚至運用零時差攻擊，在系統漏洞還未補上前駭入系統，也會透過釣魚方式竊取員工帳號與密碼，直接進到公司內部，種種方式已非傳統特徵碼的更新防護方式所能阻擋。
文曄於2021年導入具人工智慧機器學習機制的網路偵測回應（NDR）與端點偵測回應（EDR），NDR在網路端出現異常行為偏差時，進行第一線阻斷隔離防護；當網路端無法及時辨識及阻攔，使威脅進入到端點時，則透過EDR機制再行阻斷隔離防護。同時網路威脅沒有假日，因此亦與協力廠商簽訂SOC/MDR等託管服務，以7x24不間斷機制，隨時監控資安威脅事件。
回應客戶的資安關切
文曄客戶透過每年定期之供應商自評問卷，或透過與業務部門日常之溝通機制，針對資安管理進行評估或詢問特定之資安議題，2021年收到客戶關切議題主要為重大漏洞處理及是否通過ISO 27001驗證，全部已由資訊部門透過自評問卷或電子郵件進行回覆，以達成客戶之需求。

2022年文曄的資安管理規畫
管理層面 導入ISO 27001，建立公司內部資安管理運作的組織，持續強化及改善資安管理機制，提升對資安事件的對策及緊急應變能力。
技術層面 逐步建構完整資安基礎建設，針對新型態資訊架構（如：雲端運用、AI 人工智慧及IoT 物聯網）之技術導入後，進行相對應的新技術型態資安架構防護。
認知訓練層面 提升所有同仁資安意識，且逐步擴展至供應商，透過供應商教育訓練與資安評鑑，協助供應商提升資安能力，建立整體供應鏈的防護網。

P54
GRI特定主題準則揭露索引
自訂：資訊安全
揭露項目 對應章節 頁碼
發生外部入侵竊取內部資料或中斷資訊服務之事件 3-6資訊安全 p.44
接受資安教育訓練之人次與百分比 3-6資訊安全 p.44

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。