iT邦幫忙

2022 iThome 鐵人賽

DAY 2
3
Security

從公開發行公司股東會年報分析公發公司資安揭露情形系列 第 2

Day 2 股東會年報案例分析1--宏碁(2353) (產業別:上市,電腦及週邊設備業)

  • 分享至 

  • xImage
  •  

《前言》

宏碁在股東會年報上面所揭露的資通安全管理,可以作為其他家上市櫃公司參考的範本,尤其他們有關於資安的揭露,是將資安涵蓋到風控裡面,加上公司輔以簡圖的方式,架構非常完整,其中有關資安事件,更往前追述之前所遇到的資安問題,同時,也針對這些問題,提出解決方案,故可以做為各家公發公司之參考範本。


我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

一、資通安全風險管理架構:
https://ithelp.ithome.com.tw/upload/images/20220916/20107482pO7zqufc2A.png

二、資通安全政策:(分四部分)
(1)企業資訊安全管理策略與架構:
1.每2週開ISMS (Information Security Management System, ISMS) 例行會議。
2.每年透過內部與外部稽核,確保執行狀況符合規範,維護重要資產的機密性、完整性及可用性。
3.持續更新ISO/IEC 27001。
4.參考 NIST Cybersecurity Framework ( CSF) 資安框架,加強多層資安防護。

(2) 企業資訊安全風險管理與持續改善架構
https://ithelp.ithome.com.tw/upload/images/20220916/20107482jiplX8kkWT.png

(3) 具體管理方案
https://ithelp.ithome.com.tw/upload/images/20220916/201074828CV9q5KEmP.png
評鑑結果為B。

(4) 投入資通安全管理之資源
https://ithelp.ithome.com.tw/upload/images/20220916/20107482PZMc9tloCu.png

二、資通安全風險與因應措施:

  • 過去及現在解決方式:
    公司過去曾經因WFH同仁誤點釣魚郵件而遭受勒索軟體攻擊,未來也可能面臨類似的攻擊。為了預防及降低此類攻擊所造成的傷害,公司落實相關改進措施並持續優化,例如: 惡意郵件過濾機制,以減少釣魚郵件進入同仁郵箱;強化網路防火牆與網路控管,以防止惡意軟體橫向跨區擴散;特權帳號多層次管控,以防止盜用;導入先進解決方案,進行合規機器的查核;導入新技術以偵測與處理惡意軟體;定期執行系統弱點掃描與修復和員工警覺性測試。
  • 未來:
    1.客戶資料不外洩,透過多層防護。
    2.加強整體資安防禦與監控機制,並全面部署端點偵測及回應軟體,確保異常行為的可視性。
    3.內部系統區隔化,各地區系統與總部資料中心採網路零信任架構,及強化資訊系統營運持續演練。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。

我們依照宏碁年報重大資通安全事件所揭露,整理如下:
https://ithelp.ithome.com.tw/upload/images/20220916/20107482lXzSbaUvcI.png

《攻擊事件簡述》:

根據新聞報導,宏碁在去年三月分遭受攻擊主因為微軟郵件伺服器Exchange server要更新漏洞,而在公告更新的空檔,駭客組織REvil趁機展開攻擊,宏碁公司也通報多國執法及資訊保護機關,並拒絕了對方的勒索。

到了十月,另一個駭客組織Desorden又對宏碁進行了兩次攻擊,分別是印度子公司及台灣總公司,這次主要是因為宏碁在保護數據的網路安全遠遠不足之故,所以印度的售後服務系統先被獨立攻擊,接著又攻擊台灣總公司,宏碁一樣就是通報印度當地執法機關及有關政府單位,並表示台灣則未受此次攻擊影響。

《分析》:

由於宏碁本身是資訊相關產業,在台灣是個指標性企業,尤其還設立了一家資安子公司--安碁資訊,由此可知,公司也對資安這塊極為重視。因此,相對的在本年度的資通安全管理上,也描述的分常清晰,條理分明,如前言所說,是可以做為各家企業的標準範本。

另外,就組織上來看,宏碁目前還未設資安長,所以將資安的部分,就交由風管裡委員會來負責,但是,宏碁的風控有分成約11個項目,其中包含資安、匯率、勞動力、供應鏈等等,並做出風險分級,只不過,過於多項的分類,在對董事會及審計委員會報告時,可能會失焦,再者,就公司最高層級,董事會及審計委會成員裡,僅有一位獨董有資安專業背景,就一家資訊公司來說,就顯得比較薄弱。

https://ithelp.ithome.com.tw/upload/images/20220916/20107482kurbNhWdVf.png

另外,在股東會年報上,宏碁也有做出評鑑以及對過去、現在、未來的政策及具體作為,作出很明確揭露,同時也強調公司無法保證,絕對能夠不受外部侵擾。此外,也在風險管裡上,區分出三道防線,基本上,對於公發公司而言,是具有很高的參考的價值。

https://ithelp.ithome.com.tw/upload/images/20220916/20107482mbkHERxz8A.png

筆者認為,我們常說生於憂患,而死於安樂,宏碁無可避免的一定每天遭受數以萬計的攻擊,雖然如此,但將這些經驗累積下來,將來勢必能夠發展出對應的監控軟體,並可以做出適當反擊的。

我國的資安,目前大部分是處於防禦的型態,因為宏碁本身是資訊相關產業,因此,是相對比較積極在發展這部分的公司,甚至將來或許可能自行發展出相應的監測及反制的軟硬體。只不過,一般產業可不見得就是有如此的條件,當然,由領頭羊的企業來發展資安,並與各大企業加強合作的方式,也是可以做為資安發展的方向之一。


上一篇
Day 1 落實公司治理
下一篇
Day3 股東會年報案例分析2--廣達(2382) (產業別:上市,電腦及週邊設備業)
系列文
從公開發行公司股東會年報分析公發公司資安揭露情形30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言