Day23 股東會年報案例分析20--中華電(2412) (產業別：上市，通信網路)之(3)

2022 iThome 鐵人賽

DAY 23

Security

從公開發行公司股東會年報分析公發公司資安揭露情形系列第 23 篇

14th鐵人賽

彭偉鎧

2022-10-08 08:43:50

647 瀏覽

分享至

《前言》

今天再繼續昨日中華電信的案例，我們繼續探討中華電信股東會年報資通安全管理的揭露事項。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

3. 資通安全管理策略與持續改善架構
(續上篇)

「風險辨識與防護對策規劃」，以風險管理為始，依循國際標準（ISO27001 ／ BS10012 ／ CSA ／ NIST），建立完善資通安全管理制度並通過第三方認證。掌握標準發展趨勢（如 ITU、3GPP、GSMA）與產官學合作（如 ORAN 聯盟），研析風險防護對策，從制度面、管理面、技術面將安全需求預先納入建設規劃，降低資安風險與確保合規。

「防禦偵測與快速回應階段」，透過智慧資安監控中心（CHT SOC），以零信任框架為基礎，部署多層次縱深防禦與偵測機制，培育人員資安認知取得 800 張以上資安國際證照，同時透過智能化、自動化資安治理機制，偵測資安威脅及違規風險事件，並定期辦理滲透測試、資安健診與紅隊演練，從人員、設備、網路、系統、應用程式、資料與隱私、供應鏈各安全面向，全方位內化於日常工作流程中，並與國家層級 C-ISAC 資安通報聯防，參與國家級 CI & CII 演習，威脅情資交換及漏洞預警，確保資通訊系統及關鍵基礎設施可用性、資安防護有效性、安全性及強韌性。

「查核與檢視階段」，為達成「全員關注資安、落實資安」之目標，將資安與個資保護指標納入各單位及全體員工績效評核項目，並定期執行內外部稽核，通過主管機關查核與第三方驗證，依據結果監督與量測資安績效評核指標（KPI）達成情況。

「檢討與改善階段」，檢討資安績效評核指標（KPI）達成情況、召開管理審查會議，確保政策方針及安控措施之有效性與適切性， 獎勵績優事蹟，激勵全體人員落實資安政策及管理規範，違規者依情節予以再訓練或懲處。持續新資安威脅與風險議題辨識，進行資安技術之提升，回饋至防禦系統，納入風險管理具體行動方案。

本公司資安與個資風險控管情形，已納入本公司「風險管理委員會」每月追蹤管理，若有重大風險議題提報至審計委員會，或直接向董事會報告。綜觀近年國內多起企業遭受重大資安攻擊，本公司均未受影響。

《分析》：

接續昨天的部分，筆者覺得中華電信股東會年報資通安全管理，是很值得仔細閱讀的。

首先，我們看到，上面揭露的內容，有提到零信任，所以我們先定義何謂『零信任』？

零信任就是一種「永不信任，一律驗證」的觀念，搭配運用各種網路認證存取等等資訊安全的機制，來防止外部威脅。

零信任框架，目前在一般發行公司是很難達成的目標，因為許多公司除了自身的員工之外，還有外部廠商等等因素，存取限制的設定尚可透過軟體或APP進行控管，然而，現在有些數據跟資料的判斷，又或者主機跟雲端的識別等等，但是採取高標的零信任，就如同前篇所言，『滾動式』的更新很重要，因為可能今天理想的零信任模式，到隔天可能因為新的病毒模式的出現，又必須要重建，所以，『滾動式』調整的觀念就很重要了。

此外，就是培養資安國際證照的部分，因為中華電信本身是屬於網通業，因此，透過外部考試的方式，除了可以培養知識之外，這幾年，很多國際證照都有要求在固定年限內要更新證照，也同時獲取新的相關資安知識，相關的證照，公司可以訓練部門可以協助安排，並隨時提供新資訊。證照的取得，雖然不見得就代表資安有做好，但是，企業文化的觀念的建立本來就不是容易的事情，必須要逐年不斷的改變才行，有些觀念才能慢慢內化成為公司文化的一部分，尤其這類需要隨時提升的資安觀念，一般發行公司也是可以參考的部分。

再來，就是針對通報，早期筆者的文章也多次提及通報的觀點，中華電信主要提及C-ISAC 資安通報聯防，以及參與國家級 CI & CII 演習，筆者在此引用iThome對於C-ISAC的專文，有興趣大家可以參考：
https://www.ithome.com.tw/news/132226

中華電信本身就非常重要，與國家級的資安聯防也是必要的策略，一般公發公司就通報的觀念，也要盡速建立，實在有太多公發公司，不願意通報了，這些觀念在公發公司應該盡早建立。

第四，就是KPI的訓練，這裡面有提到獎勵，當然也有提到再訓練與懲處，雖然大部分企業在股東會年報上都是以獎勵代替懲處，不過，筆者認為，中華電信是以零容忍、零信任為方向，因此，懲處與再訓練還是有必要的，基本上，所謂的懲處與再訓練，只是希望員工能更好，筆者認為，也要針對這些懲處與再訓練的資料蒐集，定期審視何者是公司所缺乏的部分，再進行強化。

最後，就是在公司治理的部分，因為中華電信有設立風險管理委員會，所以，是每月匯報，有特殊情況發生，也由風控單位隨時與董事會及審計委員會通報，基本上，內部通報這是必然的事情，筆者的同業，有些連內部通報都不願意，等到事情擴大了，被主管機關懲處了，才開始緊張，基本上就是隱匿不報，或者不願根據公司治理的規定走，這就需要公司徹底去檢視內部控制制度了。