《前言》

今天再繼續昨日中華電信的案例，我們繼續探討中華電信股東會年報資通安全管理的揭露事項。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

3. 資通安全管理策略與持續改善架構

除建置符合國際標準的資訊安全管理系統，我們更以風險管理為導向，衡量資安治理成熟度，每年依據外部環境及內部風險評估結果，妥適地修訂「資通安全政策」與相關規範。

為達成「全員關注資安、落實資安」之目標，將「資訊安全」納入員工的績效評核指標，並定期執行內外部稽核，通過主管機關查核，目前中華電信 100% IT 相關基礎建設，均通過相關國際資安標準規範（ISO27001 ／ ISO27011 ／ISO27017 ／ ISO27018 ／ BS10012／ CSA STAR Certification，證書持續有效）認證。

另為確保「資通訊系統」及「關鍵基礎設施」之安全，中華電信參考 NIST Cybersecurity Framework（CSF）安全框架，並依循國內外標準及法規，建立「資安與個資風險管理架構」，實施具體有效的資安防護管理及個資隱私保護措施，確實預防可能產生的資安風險。

為充分支持並達成公司各項業務之策略與目標，本公司建立了符合營運目標的「資通安全政策」，經董事長核定，並發布於員工入口網及本公司官網，向全體員工、客戶及供應商宣示本公司達成資安與個資事故「零容忍」之決心，實施具體有效的安全防護及個資隱私保護措施，藉由 Plan-Do-Check-Act（PDCA）管理循環，持續滾動及精進資安與個資保護管理作為。

《分析》：

高標的案例很值得我們細細品味，昨天我們看完第一部分的揭露事項之後，我們接著來看後面陸續的揭露事項，首先，中華電信是以風險管理為導向，這是非常正確的方向，很多發行公司都沒有提到這點。

等級的劃分，我們可以參考『資通安全責任等級分級辦法』：
https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304&kw=%e8%b3%87%e9%80%9a%e5%ae%89%e5%85%a8

目前查詢有關資通安全的部分，很多單位都有訂出明確的分級，依照分級的方向，就是要做風險控管，中華電信也提到

每年會依據外部環境及內部風險評估結果，妥適地修訂「資通安全政策」與相關規範。

其實應該說採取『滾動式』的更新會更好，畢竟現在外部變化速度很快，尤其重大事故發生，根本是措手不及的。

此外，中華電信也提及會將資訊安全列入公司的績效評估內，並配合內外稽核，並通過主管機關的查核，很多發行公司並沒有辦法如中華電信一樣，配合主管機關的查核，甚至有時候連內稽都會相當排斥，筆者並沒有看過中華電信的相關稽核資料以及KPI指標是如何作業，現在目前公開發行公司內部稽核單位，主要是八個循環加上一個電腦化資訊系統處理以及十八個管理辦法，雖然在公開發行公司建立內部控制制度處理準則9-1條有新增資安的部分，如下：

第 9-1 條
公開發行公司應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。符合一定條件者，本會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長，及設置資訊安全專責單位、主管及人員。
前項一定條件，由本會定之。

只是不知道這部分，將來會不會成為第九個循環出現，到時可能很多稽核單位都要學習更多相關資安知識才行。

最後，中華電信的網站，有公告公司的資安政策，這點也是值得一般公發公司學習之處，也請大家參考。

相關連結如下：

https://www.cht.com.tw/zh-tw/home/cht/esg/customer-care/cybersecurity