《前言》

台灣高鐵是航運業軌道事業當中的唯一一家上市公發公司，軌道事業因為有其特殊性，所以筆者選了台灣高鐵作為案例之參考。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(一 ) 有關本公司 110 年度資通安全管理執行情形如下：
1. 資通安全風險管理架構：本公司，為確保資通安全落實於業務執行，設有「資訊安全管理委員會」由總經理召集各處室主管擔任資訊安全管理委員，設置資通安全長一職擔任委員會主席，審議公司資訊安全管理策略、目標與業務之任務組織；另設有公司資訊安全管理代表一名，資訊安全專責人力四名，負責管理與督導資通安全工作之規畫、推動與執行，及符合資通安全管理法以及上市上櫃公司資通安全管控指引要求，執行情形說明如下：

(1) 由資訊處處主管擔任資訊安全長暨資訊安全管理審查會議主席，每半年定期召開會議，審查資訊安全發展方向及策略，使資訊安全管理制度持續穩健運作，並每年定期向董事會報告資訊安全執行成果。
(2) 各處室視業務需要指派單位資訊安全代表至少一名，資訊處系統維運部主管擔任公司資訊安全管理代表，於110年度每季召開「資安代表會議」，報告資訊安全發展計畫、執行成果及宣達相關資訊安全政策與執行要點。
(3) 110年度相關資訊安全治理報告及成果已於6月16日第九屆第15次董事會報告在案。
(4) 資訊安全管理架構圖

2. 資訊安全政策：本公司每年定期審查資訊安全政策，並於 110 年 05 月 27 日由董事長簽署並公告於本公司網站，另詳本年報第肆章。

3. 具體管理方案及投入資通安全管理之資源：
(1) 本公司訂有「資訊安全管理規範」，規範硬體、軟體、資料及文件、人員等需滿足C(機密性)、I(完整性)、A(可用性)、C(法律遵循性)，並以持續運作、資安挑戰、適法性三個方向作為架構資通安全治理、管理之基礎，持續精進管理措施。
(2) 本公司於110年針對公司營運類資產如維修資訊系統、網路設備等資訊設備，投保硬體設備電子保險，透過保全監控、門禁管制作業避免設備被竊或惡意損毀情事發生。
(3) 本公司致力於網路、個人電腦、伺服器、資料保護等資訊服務佈署層層資安防護， 以達縱深防禦之效為目標，竭力於避免來自任何第三方惡意探測或駭侵，但仍無法保證可以完全避免駭侵(如：APT進階持續性攻擊(Advanced Persistent Threat)、DDoS(Distributed Denial of Service)攻擊、勒索軟體、社交工程攻擊、竊取資訊等資安議題)致資訊服務系統無法正常運作，導入SIEM(Security Information and Event Management，安全資訊與事件管理)平台與SOC(Security Operation Center，資安監控中心)加速資安告警事件的查覺時間；同時也評估透過投保資安險做為後盾，在考量保險範圍、理賠範圍、理賠鑑識、鑑識機構資格等議題綜效後，採取以每年度的內外部稽核、內控制度及規章審查、程序驗證等稽核檢視作業，做為因應資訊安全所面臨的挑戰，採取以下策略：

□ 每年依公司資訊安全政策持續關注資訊環境變化趨勢，並參考技術文刊資料，擬訂資訊安全防護機制與方案。
□ 每年執行安全性檢測、資通安全健診、及資通安全事件演練，強化公司同仁資安危機意識及資安處理人員應變能力，以期能事先防範及第一時間有效偵測並阻絕擴散。
□ 每季對全體同仁執行資訊安全教育訓練、每月執行社交工程演練、及不定期的資訊安全宣導藉以提升同仁的資安意識防患於未然。
□ 制訂資通安全事件通報及應變管理程序，因應資通安全事件發生時，可依據不同事件等級進行內外部通報、成立資通安全事件應變小組，評估事件影響範圍進行災害控制及後續事件調查等，藉以縮小營運影響範圍、減少營運衝擊時間以維持旅客的權益為優先。

(4) 本公司於110年10月通過BSI英國標準協會的複驗，持續維持ISO27001資訊安全管理系統的有效性，110年度證書效期為109年12月28日至112年12月27日。

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

無。

《分析》：

如前言所述，軌道事業有其特殊性，為什麼會這樣說呢？我們現在看到的股東會年報資通安全管理的部分，普遍都是針對公司內部的規範比較多，或者屬於為了製造業生產線的穩定，而佈署的，但是，如果是搭乘在車上或航空器上是人的話，那麼情況就不一樣了，因為只要一個疏忽，就可能造成數以百計或數以千計的人命的災難。

首先，我們看一下公司治理的部分，總經理下設資安長，由資訊處副總兼任，審視其資格與經歷，條件是符合的，所以，就公司治理角度來看，結構上是沒甚麼太大問題，但是，就高鐵董事會來說，就比較缺乏資安相關的專業，因此，在董事會以及審計委員會的報告上來看，就有可能出現董事會對於資安的報告，會顯得較弱一些。大家可以參考下圖，股東會年報對於董事專業度的揭露事項：

接著，我們來看資安與營運相關的問題，由於高鐵的系統都需要回傳到行控中心做監控，以防止交通意外發生，所以，主機都要受到特別的保護與設計，除了公司內部的一般伺服器跟機房做資安保護之外，所有營運當中車輛也要適用另一個更重要的資安政策的保護，以減低交通意外事故的發生。

所以，比較起前面的案例來說，台灣高鐵的資安可能要擴大到行車上面才行，就是因為產業的特殊性，所以在筆者的觀點上來看，資通安全管理需要將行駛中的車輛納入這個部分。

試問，如果受到外部攻擊時，整個交通大打結的情況發生，或主導權由外部來操控，甚至無時無刻來勒索，那麼會變成甚麼可怕的災難發生呢？

最後，資安是環環相扣的，航運交通事業體，所要考慮的面向，是應該要比一般產業更深入的，畢竟，如果航運受影響，不但運輸受影響，貨物運輸受影響，也關係到人命，所以不可不慎。