iT邦幫忙

2022 iThome 鐵人賽

DAY 26
2
Security

從公開發行公司股東會年報分析公發公司資安揭露情形系列 第 26

Day26 股東會年報案例分析22--宇峻(3546) (產業別:上櫃,文化創意)

  • 分享至 

  • xImage
  •  

《前言》

這幾年線上遊戲越來越多,電視、網路等等都看得到很多線上遊戲的廣告訊息,所以,在資安的防護上,也是非常的重要,筆者在審視幾家遊戲公司之後,本篇就以宇峻做為案例探討。


我們先簡單的看過兩項揭露的狀況:(筆者覺得重要的部分)

(一)敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(一) 資訊安全風險管理架構組織:

https://ithelp.ithome.com.tw/upload/images/20221009/20107482MOHUuKa14E.png

(二) 資訊安全政策與目標: 維護本公司資訊資產之機密性、完整性與可用性,並保障使用者資料隱私。 藉由全體同仁共同努力來達成下列目標:
1.落實本公司維運作業系統及相關部門與維運管理人員之標準作業程序,以確保本公 司機房之機密性、完整性、及可用性,以符合利害相關團體之要求與期盼。
2.保護本公司業務活動資訊,避免未經授權的存取或修改,確保其正確完整。 3.建立跨部門之資訊安全組織,制訂、推動、實施及評估改進資訊安全管理事項,確保本公司具備可供業務持續運作之資訊環境。
4.辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
5.執行資訊安全風險評估機制,提升資訊安全管理之有效性與即時性。
6.重要的資訊安全設施應視需要評估建立備援架構,以確保系統可用性。
7.實施資訊安全內部稽核制度,確保資訊安全管理之落實執行。
8.本公司之業務活動執行須符合相關法令或法規之要求。
9.供應商提供之服務,應對其服務之項目及內容進行控管、查核及驗收管理。 10.公司應建立內部、外部溝通協調機制。
11.公司應對資訊安全管理系統定期檢視並持續改善。

(三)具體管理方案:
1.明定相關人員在資訊安全作業應扮演之角色,以作為各單位權責、權限分工之依據。
2.每年至少一次加強宣導資訊安全政策及各項作業規定,並實施相關新進人員教育訓練課程,有效提昇同仁資訊安全意識。
3.定期演練災難還原計劃,以驗證資料備份之正確性及確保異地備援機制的可用性。
4.頒布相關資安政策:
4.1.個人資料保護政策暨管理辦法。
4.2.軟體使用管理規範。
4.3.資訊安全管理規範。
4.4.通報機制規範。

(四)科技運用作為:
1.設有資安監控中心(SOC),即時資安預警通報。
透過豐富資訊安全維運經驗人員,進行資訊安全實況監控及分析。藉由這些專職的 資安人員全年無休(724)的監控服務,可於遭受資訊安全威脅時,適時的發出警報 並協助資訊人員進行適當的風險處置。
2.導入企業威脅防護系統。
該系統可第一時間保護內部員工上網、使用網路服務的安全,可主動辨識及封鎖惡 意軟體、勒索軟體、DNS 資料竊與網路釣魚等目標式威脅,讓同仁執行一致的安 全與正當的使用原則。
3.建立智能AI分析工具,強化入侵防禦並保護數據安全 提供精準 AI 分析,為每個端點作獨立行為分析,持續學習使用行為,以數學演算法找出異常狀態,可快速回應惡意攻擊

(五)投入資通安全管理資源:
https://ithelp.ithome.com.tw/upload/images/20221009/20107482kAu5T5wK7m.png

(二)列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。

(六)資安事件通報:
https://ithelp.ithome.com.tw/upload/images/20221009/20107482vZ5wCWIwGc.png

《分析》:

由於近年來線上遊戲有不少人的帳號被駭,造成帳戶上的虛擬貨幣或寶物的損失,這些狀況都可以在網路上搜尋到相關新聞,所以,筆者在看過幾家遊戲相關公司的股東會年報,就以宇峻為案例介紹。

宇峻的資安是放在資訊處下方的一個獨立資安室,這個層級上,是有點降級的感覺,當然以其規模還不用提高到專責的副總以上的層級來負責,所以並沒有違背公司治理的精神,不過,由於產業型態的關係,筆者參酌其組織圖,如下圖,認為還是提升到總經理室,統籌研發中心及資訊處的資通安全管理,以避免研發與資安無法橫向聯繫的情況
https://ithelp.ithome.com.tw/upload/images/20221009/20107482KpEM149OjC.png

此外,由於產業的特性,檢視其董事會成員資格的專業,基本上沒有太大問題。
https://ithelp.ithome.com.tw/upload/images/20221009/20107482omn2UjCidH.png

另外,就是宇峻有揭露一個『科技運用作為』的項目,『提供精準 AI 分析,為每個端點作獨立行為分析,持續學習使用行為,以數學演算法找出異常狀態,可快速回應惡意攻擊。』因為不太了解其詳細運用範圍,但是,如果能透過學習的方式,運用演算法能夠防止其客戶的帳號遭受盜用的情況,這的確是一個很值得參考的方法。

最後,在『投入資通安全管理資源』以及『重大資安事件』的揭露項目,都以表格的方式,簡單明瞭的表達出來,尤其在投入的資源,有詳實的揭露投入的人力及預算,是很清楚的揭露方式,不過,就是沒有對於效果的評鑑,這是筆者認為需要列入的部分。


上一篇
Day25 股東會年報案例分析21--台灣高鐵(2633) (產業別:上市,航運業)
下一篇
Day27 股東會年報案例分析23--台泥(1101) (產業別:上市,水泥工業)
系列文
從公開發行公司股東會年報分析公發公司資安揭露情形30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言