iT邦幫忙

2022 iThome 鐵人賽

DAY 25
2
Security

從公開發行公司股東會年報分析公發公司資安揭露情形系列 第 25

Day25 股東會年報案例分析21--台灣高鐵(2633) (產業別:上市,航運業)

  • 分享至 

  • xImage
  •  

《前言》

台灣高鐵是航運業軌道事業當中的唯一一家上市公發公司,軌道事業因為有其特殊性,所以筆者選了台灣高鐵作為案例之參考。


我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(一 ) 有關本公司 110 年度資通安全管理執行情形如下:
1. 資通安全風險管理架構:本公司,為確保資通安全落實於業務執行,設有「資訊安全管理委員會」由總經理召集各處室主管擔任資訊安全管理委員,設置資通安全長一職擔任委員會主席,審議公司資訊安全管理策略、目標與業務之任務組織;另設有公司資訊安全管理代表一名,資訊安全專責人力四名,負責管理與督導資通安全工作之規畫、推動與執行,及符合資通安全管理法以及上市上櫃公司資通安全管控指引要求,執行情形說明如下:

(1) 由資訊處處主管擔任資訊安全長暨資訊安全管理審查會議主席,每半年定期召開會議,審查資訊安全發展方向及策略,使資訊安全管理制度持續穩健運作,並每年定期向董事會報告資訊安全執行成果。
(2) 各處室視業務需要指派單位資訊安全代表至少一名,資訊處系統維運部主管擔任公司資訊安全管理代表,於110年度每季召開「資安代表會議」,報告資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。
(3) 110年度相關資訊安全治理報告及成果已於6月16日第九屆第15次董事會報告在案。
(4) 資訊安全管理架構圖

https://ithelp.ithome.com.tw/upload/images/20221008/20107482ZnWJMLqAtR.png

2. 資訊安全政策:本公司每年定期審查資訊安全政策,並於 110 年 05 月 27 日由董事長簽署並公告於本公司網站,另詳本年報第肆章。

3. 具體管理方案及投入資通安全管理之資源
(1) 本公司訂有「資訊安全管理規範」,規範硬體、軟體、資料及文件、人員等需滿足C(機密性)、I(完整性)、A(可用性)、C(法律遵循性),並以持續運作、資安挑戰、適法性三個方向作為架構資通安全治理、管理之基礎,持續精進管理措施。
(2) 本公司於110年針對公司營運類資產如維修資訊系統、網路設備等資訊設備,投保硬體設備電子保險,透過保全監控、門禁管制作業避免設備被竊或惡意損毀情事發生。
(3) 本公司致力於網路、個人電腦、伺服器、資料保護等資訊服務佈署層層資安防護, 以達縱深防禦之效為目標,竭力於避免來自任何第三方惡意探測或駭侵,但仍無法保證可以完全避免駭侵(如:APT進階持續性攻擊(Advanced Persistent Threat)、DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題)致資訊服務系統無法正常運作,導入SIEM(Security Information and Event Management,安全資訊與事件管理)平台與SOC(Security Operation Center,資安監控中心)加速資安告警事件的查覺時間;同時也評估透過投保資安險做為後盾,在考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效後,採取以每年度的內外部稽核、內控制度及規章審查、程序驗證等稽核檢視作業,做為因應資訊安全所面臨的挑戰,採取以下策略:

□ 每年依公司資訊安全政策持續關注資訊環境變化趨勢,並參考技術文刊資料,擬訂資訊安全防護機制與方案。
□ 每年執行安全性檢測、資通安全健診、及資通安全事件演練,強化公司同仁資安危機意識及資安處理人員應變能力,以期能事先防範及第一時間有效偵測並阻絕擴散。
□ 每季對全體同仁執行資訊安全教育訓練、每月執行社交工程演練、及不定期的資訊安全宣導藉以提升同仁的資安意識防患於未然。
□ 制訂資通安全事件通報及應變管理程序,因應資通安全事件發生時,可依據不同事件等級進行內外部通報、成立資通安全事件應變小組,評估事件影響範圍進行災害控制及後續事件調查等,藉以縮小營運影響範圍、減少營運衝擊時間以維持旅客的權益為優先。

(4) 本公司於110年10月通過BSI英國標準協會的複驗,持續維持ISO27001資訊安全管理系統的有效性,110年度證書效期為109年12月28日至112年12月27日。

(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。

無。

《分析》

如前言所述,軌道事業有其特殊性,為什麼會這樣說呢?我們現在看到的股東會年報資通安全管理的部分,普遍都是針對公司內部的規範比較多,或者屬於為了製造業生產線的穩定,而佈署的,但是,如果是搭乘在車上或航空器上是人的話,那麼情況就不一樣了,因為只要一個疏忽,就可能造成數以百計或數以千計的人命的災難

首先,我們看一下公司治理的部分,總經理下設資安長,由資訊處副總兼任,審視其資格與經歷,條件是符合的,所以,就公司治理角度來看,結構上是沒甚麼太大問題,但是,就高鐵董事會來說,就比較缺乏資安相關的專業,因此,在董事會以及審計委員會的報告上來看,就有可能出現董事會對於資安的報告,會顯得較弱一些。大家可以參考下圖,股東會年報對於董事專業度的揭露事項:

https://ithelp.ithome.com.tw/upload/images/20221009/20107482qlgudMLyt3.png

接著,我們來看資安與營運相關的問題,由於高鐵的系統都需要回傳到行控中心做監控,以防止交通意外發生,所以,主機都要受到特別的保護與設計,除了公司內部的一般伺服器跟機房做資安保護之外,所有營運當中車輛也要適用另一個更重要的資安政策的保護,以減低交通意外事故的發生。

所以,比較起前面的案例來說,台灣高鐵的資安可能要擴大到行車上面才行,就是因為產業的特殊性,所以在筆者的觀點上來看,資通安全管理需要將行駛中的車輛納入這個部分。

試問,如果受到外部攻擊時,整個交通大打結的情況發生,或主導權由外部來操控,甚至無時無刻來勒索,那麼會變成甚麼可怕的災難發生呢?

最後,資安是環環相扣的,航運交通事業體,所要考慮的面向,是應該要比一般產業更深入的,畢竟,如果航運受影響,不但運輸受影響,貨物運輸受影響,也關係到人命,所以不可不慎。


上一篇
Day24 股東會年報案例分析20--中華電(2412) (產業別:上市,通信網路)之(4)
下一篇
Day26 股東會年報案例分析22--宇峻(3546) (產業別:上櫃,文化創意)
系列文
從公開發行公司股東會年報分析公發公司資安揭露情形30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言