《前言》

今天是最後一次探討中華電信股東會年報資通安全管理的揭露事項，雖然花了四天時間，但筆者覺得這中華電信的結構寫的很嚴謹，如果公發公司可以在明年度參考中華電信的股東會年報，應該可以揭露得很完整，當然，沒有一份股東會年報資通安全的部分是完美的，隨著時間也會逐漸增加或減少很多東西，也無法從這些字面上的內容來判斷是否充分揭露，但是，現階段來說，這是個很棒的範本，大家可以參考，也可以作為資通安全管理的方向指引，如果能從中獲得更多體會，相信發行公司的資通安全管理一定可以逐年提升的。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(續上篇)

( 二 ) 具體管理方案本公司持續研析資安風險與對應之防護戰略，實施各項有效的具體方案，除通過第三方認證外，並從 7 大面向：

(1) 資通安全防護與管理、
(2) 個資隱私保護與管理、
(3) 智慧化監控中心與多層次縱深防禦、
(4) 關鍵基礎設施及資通系統營運持續運作管理、
(5) 即時事件通報及快速回應機制、
(6) 外部第三方資安檢測與健診、
(7) 投保資安險，

確保資通安全之韌性，避免關鍵基礎設施、網路、資通系統因資安事件或營運中斷影 響公司營運。

(中間部分敘述省略)

( 三 ) 投入資通安全管理之資源
本公司為專業資安解決方案提供廠商，具備全方位的資安異常偵測預警能力，公司多年來投入大量資源孕育優質資安人才，已設置資通安全長，內部配置資通安全專職人員約 50名，資安研發團隊超過百人，110 年之資通安全措施推動執行成果如下圖。

(以下部分敘述省略)

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

中華電信已建立完善資通安全事件之預防通報、應變及改善機制，制定「資通安全事件通報與應變處理作業程序」，透過智慧資安監控中心（CHT SOC），即時掌握資安風險並能提早進行因應，預防重大資通安全事件所遭受之損失，並定期執行演練，以確保事故發生或營運中斷時，啟動相關復原作業。

一旦發現疑似資安事件，依既有資安事件處理程序進行通報，若證實屬資安事故，立即啟動緊急應變程序，於規定時限內完成應變處理，其程序如下：

1. 評估影響範圍及損害程度，採分級因應，如為重大資安事故，CHT SOC 立即通報「資安長」。
2. 成立緊急應變小組，啟動緊急應變計畫，完成損害控制或復原作業，並進行鑑識調查作業，確認事故根因，清查損害範圍，及保存相關事證，預防損害擴大。
3. 依法於時限內通報主管機關（NCC），如需其他業者、執法單位、協防單位等外部單位支援或協助時，本公司將透過 NCC 資安緊急應變中心（C-CERT）尋求必要之協助。
4. 對事故所造成之衝擊、損害及影響進行檢討，個案看通案，擬訂具體改善方案，防範事故再次發生。

截至年報刊印日止，本公司並無因資安或個資外洩影響本公司業務或遭裁罰之情事。

《分析》：

從上面的中華電信資通安全管理揭露事項，中華電信在具體管理方案，主要分出七大面向，這七個面向大部分都有涵蓋到前三篇所寫的內容，重點在於投入資通安全管理之資源的這部分，110 年之資通安全措施推動執行成果的圖，這張圖表達很好，核心價值在零容忍，然後圍繞的這個核心，所有的執行成果與小型的分析圖表，筆者覺得不會很雜亂，也確實的總結了在這個揭露項目的所有要點，這部分筆者覺得一般公發公司是可以學習的地方。

最後是在重大資安事件揭露事項，筆者覺得就去年幾家公開發行公司的揭露內容來看，有不少在這個揭露事項裡面，如果沒有重大資安事件，通常會寫無重大資安事件，不過，中華電信在這裡是交代了，如果發生重大資安事件，他們會採取的四個程序，筆者大致上將這四個重點簡單的列出：分級因應、完成損害控制或復原作業、時限內通報主管機關、檢討並從個案看通案。

筆者的感覺，雖然這部分不是主管機關強制要求一定要寫出重大資安事件處理程序，但是，中華電信還是把這部分給揭露出來，就這四點程序來說，一般發行公司應該可以參考寫進內部控制度裡面，並配合稽核單位在重大資安事件處理程序上做好內稽，更進一步的說，不只是重大資安事件而已，一般的資安事件也是一樣可以比照辦理的。

最後還是要說，好的案例值得細細品嘗，如果在這裡的讀者有空，建議能到公開資訊觀測站下載仔細讀讀，相信一定可以加深讀者的資安觀念。