《前言》
中鋼公司是國內鋼鐵產業的龍頭,旗下的轉投資事業群,也非常的龐大,加上是官股色彩的公司,所以我們可以看看官股公司對於資通安全管理,在股東會年報上的表達方式與揭露的情況。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
(一)資通安全組織架構
1.資訊安全治理組織
中鋼公司於 109 年 12 月成立「資訊安全委員會」,由執行副總經理擔任資訊安全長兼任召集人,財務助理副總經理及生產助理副總經理擔任副召集人,資訊系統處、電控處、人力資源處、法務處、綠能與系統整合研究發展處、公用設施處指派專家擔任委員會成員,並設置執行秘書小組及資安推動小組,每季
召開會議,統籌資訊安全相關政策制定、執行、風險管理與遵循度查核,並檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性。
2.中鋼公司資訊安全委員會架構
(二)資通安全政策
1.資訊安全目標
(1)確保本公司業務相關資訊之機密性、完整性及可用性,保障公司資訊安全。
(2) 提升資訊安全防護能力,達成業務持續運作之目標。
2.資訊安全策略
資訊安全委員會為有效落實資訊安全管理,依據規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,策略如下:
(1)評估資訊作業安全需求,建立相關程序、發展策略、管理框架及標準,以確保資訊資產之機密性、完整性及可用性。
(2) 建立本公司資訊安全組織及分工權責,俾利推行資訊安全作業。
(3) 制定本公司資訊安全事件等級評估準則,以執行各項應辦事項。
(4) 建立資訊安全事件通報應變機制,以確保資安事件儘速妥善回應、控制及處理,並降低事件影響範圍及災損。
(5) 定期提升員工資訊安全意識,以減少人為所造成資訊安全災害。
3.資訊安全架構
4.資訊安全風險管理與持續改善架構
(三)具體管理方案
(四)投入資通安全管理之資源
110 年資訊安全措施推動執行成果:
(五)資訊技術安全之風險及管理措施
中鋼公司參考美國國家標準與技術研究院網路安全框架(National Institute of Standards and Technology Cybersecurity Framework,NIST Cybersecurity Framework),制定五大項資訊安全管理措施。
1.辨識(Identify)
審視資訊環境及關鍵資源、系統與服務,建構符合日常營運的風險管理策略,包括資訊資產盤點及風險評鑑,並透過內部稽核及外部稽核以發現可能潛在之風險進而改善。
2.防禦措施(Protect)
建置相應的防禦措施,確保關鍵資源、系統與服務不受資安事件影響,包括身分與存取管理、端點/防毒防護與防火牆等。
3.偵測威脅(Detect)
建置資安事件即時偵測與告警機制,包括垃圾郵件管理系統、入侵偵測系統、資安監控中心(Security Operations Center, SOC)。
4.事件應變(Respond)
制定資通安全事件通報及應變管理,當事件發生時期能迅速完成損害控制或復原作業,降低資訊安全事件對中鋼公司之衝擊影響。
5.災後復原(Recover)
建置高可用性架構並制定資料備援計劃,若遭遇資安事件,能在最短的時間內回復正常營運。
(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。
我們依照中鋼年報重大資通安全事件所揭露,並從新聞上資料,整理如下:
1.中鴻公司於 110 年 10 月 27 日,輔助性伺服器遭受病毒攻擊,中鴻公司已於第一時間啟動資安防禦,並對網路攻擊進行清查,亦同步持續檢視並強化現有的基礎架構,全面提升網路安全,以保護資料安全及完整性,中鴻公司生產、銷售及日常營運未受該次資通安全事件影響。
2.中鋼、集團其他上市子公司(中宇、中碳、中聯資源、中鋼構)及重要子公司(中龍)於 110 年度及截至年報刊印日止(111.03.31)並無因重大資通安全事件而受損失之情事。
《分析》:
中鋼的股東會年報,可以做為公發公司資通安全管理參考的範本,在公司治理方面,中鋼是每季都要進行檢討報告的,有公司曾經問過,資安檢討報告大約要多久召開一次比較適合,這個沒有標準答案,但是,例行性的董事會是以季來召開,理論上都要當作報告事項進行報告,所以這個要看公司的政策,緊急的情況,當然要馬上向董事會報告,然後事後在進行彙總報告,這也是負責的公司治理表現。
在《具體管理方案》上,中鋼以表格的方式,清楚呈現,就很一目了然,不會出現通篇文字敘述,這是一個很好的參考格式。其次,如《投入資通安全管理之資源》與《資訊技術安全之風險及管理措施》的表達都很恰當,有條不紊的。
對於資安事件,中鋼是代子公司中鴻在股東會年報上揭露資安事件的,然後,就後續的處理狀況上,筆者參考iThome上的追蹤報導,
(參考新聞:https://www.ithome.com.tw/news/147526 ),中鴻盤點結果以及不確定的事項,應該進行事後的追蹤與公告,或者是在明年的股東會年報上,將後續處理狀況做說明,資安事件的追蹤與分享是很重要的一環。