《前言》

中華電信對於資安採零容忍的政策，所以是個高標的公司，畢竟目前全台灣的線路幾乎都得靠中華電信，所以，筆者就分幾篇來探討高標產業的股東會年報資通安全管理的揭露狀況。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

( 一 ) 資通安全管理策略與架構
1. 資通安全治理組織運作架構

為確保資安管理作為有效運行，中華電信設置「資通安全與個資保護策略委員會」，由董事長代表董事會，進行資通安全政策之監管，同時指派總經理為召集人，及執行副總擔任「資通安全長（CISO）」，專責監管公司內部資通安全事宜。

為確保內部落實遵循資安相關規定，定期召開「資通安全工作會議」及「個資隱私保護工作會議」，資通安全處擔任執行秘書，彙報資安管理成效、資安風險相關議題之檢討與改善，檢視資安與個資及隱私權保護政策方針之適切性，監督、評核管理措施之合規與有效性，向董事會進行彙報，本公司董事會由具備產業經驗、法律專業、風險管理與稽核、資通訊等多元能力之董事組成，監督本公司資安與個資治理概況。

102年起建立智慧資安監控中心（CHT SOC），累積豐富的大規模駭客攻防實戰經驗，並於 105 年設置資通安全管理專責單位，貫徹「資通安全與個資保護策略委員會」政策方向，對齊法規及新業務之技術發展，統籌全公司整體資通安全政策規範、風險控制與管理、資安監控處理與聯防、教育宣導、有效性評核及遵循性查核。依國內外標準及法規持續完善資安管理相關作業，以降低企業資安風險，促進公司新興業務發展，提供客戶安全可信賴的數位環境。

2. 資通安全組織架構

《分析》：

就如同前言所寫，這是一個資安『零容忍』的案例，所以值得筆者來逐段探討，今天就先來看看公司治理的部分，在資安的部分，由總經理召集，再由執行副總來擔任資安長，層級都是最高執行層級的人來擔任，如果以政府組織來比喻，就是由總統來召集，行政院長直接擔任資安長，目前根據中華電信的網站所公告的資料，資安長是由以下的執行副總擔任CISO，另依股東會年報，目前的CISO也是資拓宏宇國際（股）公司董事、中華資安國際（股）公司董事。

此外，董事會的結構也很重要，在股東會年報裡，我們可以看到多元組成的與獨立性的重要，當中也標示了部分能力的記號，所以我們可以看到除了有互補的狀況之外，大部分也都需要具備一定的資安能力，董事會成員與獨立董事的專業越強，相對的能協助公司的資安會更強，今年就有很多筆者的同業，跟筆者反映獨立董事提了很多公司資安的問題，是他們以前都無法想到的問題，同業也像筆者詢問該如何解決，筆者都會詢問一下三位(至少)獨董的背景，落實資安的公司治理，在專業這一方面還是很重要。

再來，就是筆者覺得很重要的一部分，就是中華電信所揭露的這段：『102年起建立智慧資安監控中心（CHT SOC），累積豐富的大規模駭客攻防實戰經驗。』對於外部攻擊，就是會一直不斷的進化的，能夠建立一個資料庫，將每次攻防實戰經驗記錄下來，同時重要的是要進行分類整理，並且定期審視一些重要的實戰經驗，一般公司是建議可以參照中華電信的方式來做，當然如果是外包給外部公司，也要在合約內訂立類似的知識管理庫，不管公司將來會如何的管理，這類資料庫一定是公司在資安上重要的資料庫。

以上，就是針對第一部分做出的分析，給大家參考!