《前言》
今天再繼續昨日中華電信的案例,我們繼續探討中華電信股東會年報資通安全管理的揭露事項。
我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)
(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。
3. 資通安全管理策略與持續改善架構(續上篇)
「風險辨識與防護對策規劃」,以風險管理為始,依循國際標準(ISO27001 / BS10012 / CSA / NIST),建立完善資通安全管理制 度並通過第三方認證。掌握標準發展趨勢(如 ITU、3GPP、GSMA)與產官學合作(如 ORAN 聯盟),研析風險防護對策,從制度面、管理面、技術面將安全需求預先納入建設規劃,降低資安風險與確保合規。
「防禦偵測與快速回應階段」,透過智慧資安監控中心(CHT SOC),以零信任框架為基礎
,部署多層次縱深防禦與偵測機制,培育人員資安認知取得 800 張以上資安國際證照
,同時透過智能化、自動化資安治理機制,偵測資安威脅及違規風險事件,並定期辦理滲透測試、資安健診與紅隊演練,從人員、設備、網路、系統、應用程式、資料與隱私、供應鏈各安全面向,全方位內化於日常工作流程中,並與國家層級 C-ISAC 資安通報聯防,參與國家級 CI & CII 演習
,威脅情資交換及漏洞預警,確保資通訊系統及關鍵基礎設施 可用性、資安防護有效性、安全性及強韌性。
「查核與檢視階段」,為達成「全員關注資安、落實資安」之目標,將資安與個資保護指標納入各單位及全體員工績效評核項目,並定期執行內外部稽核,通過主管機關查核與第三方驗證,依據結果監督與量測資安績效評核指標(KPI)達成情況。
「檢討與改善階段」,檢討資安績效評核指標(KPI)達成情況、召開管理審查會議,確保政策方針及安控措施之有效性與適切性, 獎勵績優事蹟
,激勵全體人員落實資安政策及管理規範,違規者依情節予以再訓練或懲處
。持續新資安威脅與風險議題辨識,進行資安技術之提升,回饋至防禦系統,納入風險管理具體行動方案。
本公司資安與個資風險控管情形,已納入本公司「風險管理委員會」每月追蹤管理
,若有重大風險議題提報至審計委員會,或直接向董事會報告
。綜觀近年國內多起企業遭受重大資安攻擊,本公司均未受影響。
《分析》:
接續昨天的部分,筆者覺得中華電信股東會年報資通安全管理,是很值得仔細閱讀的。
首先,我們看到,上面揭露的內容,有提到零信任,所以我們先定義何謂『零信任』?
零信任就是一種「永不信任,一律驗證」的觀念,搭配運用各種網路認證存取等等資訊安全的機制,來防止外部威脅。
零信任框架,目前在一般發行公司是很難達成的目標,因為許多公司除了自身的員工之外,還有外部廠商等等因素,存取限制的設定尚可透過軟體或APP進行控管,然而,現在有些數據跟資料的判斷,又或者主機跟雲端的識別等等,但是採取高標的零信任,就如同前篇所言,『滾動式』的更新很重要,因為可能今天理想的零信任模式,到隔天可能因為新的病毒模式的出現,又必須要重建,所以,『滾動式』調整的觀念就很重要了。
此外,就是培養資安國際證照的部分,因為中華電信本身是屬於網通業,因此,透過外部考試的方式,除了可以培養知識之外,這幾年,很多國際證照都有要求在固定年限內要更新證照,也同時獲取新的相關資安知識,相關的證照,公司可以訓練部門可以協助安排,並隨時提供新資訊。證照的取得,雖然不見得就代表資安有做好,但是,企業文化的觀念的建立本來就不是容易的事情,必須要逐年不斷的改變才行,有些觀念才能慢慢內化成為公司文化的一部分,尤其這類需要隨時提升的資安觀念,一般發行公司也是可以參考的部分。
再來,就是針對通報,早期筆者的文章也多次提及通報的觀點,中華電信主要提及C-ISAC 資安通報聯防,以及參與國家級 CI & CII 演習,筆者在此引用iThome對於C-ISAC的專文,有興趣大家可以參考:
https://www.ithome.com.tw/news/132226
中華電信本身就非常重要,與國家級的資安聯防也是必要的策略,一般公發公司就通報的觀念,也要盡速建立,實在有太多公發公司,不願意通報了,這些觀念在公發公司應該盡早建立。
第四,就是KPI的訓練,這裡面有提到獎勵,當然也有提到再訓練與懲處,雖然大部分企業在股東會年報上都是以獎勵代替懲處,不過,筆者認為,中華電信是以零容忍、零信任為方向,因此,懲處與再訓練還是有必要的,基本上,所謂的懲處與再訓練,只是希望員工能更好,筆者認為,也要針對這些懲處與再訓練的資料蒐集,定期審視何者是公司所缺乏的部分,再進行強化。
最後,就是在公司治理的部分,因為中華電信有設立風險管理委員會,所以,是每月匯報,有特殊情況發生,也由風控單位隨時與董事會及審計委員會通報,基本上,內部通報這是必然的事情,筆者的同業,有些連內部通報都不願意,等到事情擴大了,被主管機關懲處了,才開始緊張,基本上就是隱匿不報,或者不願根據公司治理的規定走,這就需要公司徹底去檢視內部控制制度了。