《前言》
宏碁在股東會年報上面所揭露的資通安全管理,可以作為其他家上市櫃公司參考的範本
,尤其他們有關於資安的揭露,是將資安涵蓋到風控裡面,加上公司輔以簡圖的方式,架構非常完整
,其中有關資安事件,更往前追述
之前所遇到的資安問題,同時,也針對這些問題,提出解決方案
,故可以做為各家公發公司之參考範本。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
一、資通安全風險管理架構:
二、資通安全政策:(分四部分)
(1)企業資訊安全管理策略與架構:
1.每2週開ISMS (Information Security Management System, ISMS) 例行會議。
2.每年透過內部與外部稽核,確保執行狀況符合規範,維護重要資產的機密性、完整性及可用性。
3.持續更新ISO/IEC 27001。
4.參考 NIST Cybersecurity Framework ( CSF) 資安框架,加強多層資安防護。
(2) 企業資訊安全風險管理與持續改善架構
(3) 具體管理方案
評鑑結果為B。
(4) 投入資通安全管理之資源
二、資通安全風險與因應措施:
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
我們依照宏碁年報重大資通安全事件所揭露,整理如下:
《攻擊事件簡述》:
根據新聞報導,宏碁在去年三月分遭受攻擊主因為微軟郵件伺服器Exchange server要更新漏洞,而在公告更新的空檔
,駭客組織REvil趁機展開攻擊,宏碁公司也通報多國執法及資訊保護機關,並拒絕了對方的勒索。
到了十月,另一個駭客組織Desorden又對宏碁進行了兩次攻擊,分別是印度子公司及台灣總公司,這次主要是因為宏碁在保護數據的網路安全遠遠不足
之故,所以印度的售後服務系統先被獨立攻擊,接著又攻擊台灣總公司,宏碁一樣就是通報印度當地執法機關及有關政府單位,並表示台灣則未受此次攻擊影響。
《分析》:
由於宏碁本身是資訊相關產業,在台灣是個指標性企業,尤其還設立了一家資安子公司--安碁資訊,由此可知,公司也對資安這塊極為重視。因此,相對的在本年度的資通安全管理上,也描述的分常清晰,條理分明,如前言所說,是可以做為各家企業的標準範本。
另外,就組織上來看,宏碁目前還未設資安長
,所以將資安的部分,就交由風管裡委員會
來負責,但是,宏碁的風控有分成約11個項目,其中包含資安、匯率、勞動力、供應鏈等等,並做出風險分級,只不過,過於多項的分類,在對董事會及審計委員會報告時,可能會失焦
,再者,就公司最高層級,董事會及審計委會成員裡,僅有一位獨董有資安專業背景
,就一家資訊公司來說,就顯得比較薄弱。
另外,在股東會年報上,宏碁也有做出評鑑以及對過去、現在、未來的政策及具體作為,作出很明確揭露,同時也強調公司無法保證,絕對能夠不受外部侵擾。此外,也在風險管裡上,區分出三道防線,基本上,對於公發公司而言,是具有很高的參考的價值。
筆者認為,我們常說生於憂患,而死於安樂,宏碁無可避免的一定每天遭受數以萬計的攻擊,雖然如此,但將這些經驗累積下來,將來勢必能夠發展出對應的監控軟體,並可以做出適當反擊的。
我國的資安,目前大部分是處於防禦的型態,因為宏碁本身是資訊相關產業,因此,是相對比較積極在發展這部分的公司,甚至將來或許可能自行發展出相應的監測及反制的軟硬體。只不過,一般產業可不見得就是有如此的條件,當然,由領頭羊的企業來發展資安,並與各大企業加強合作的方式,也是可以做為資安發展的方向之一。