落實資安文化
中華電信認為,落實企業資安及個資隱私安全,不只是資安團隊、領導階層的責任,更是企業內每一個人的責任。對此,中華電信力行資安文化的育成,除了制定、維護並執行內部資安政策外,更將資安嵌入企業營運之中,並將履行資訊/網路安全作為,列為員工績效評估考核指標之一。
透過資安教育與宣傳,定期進行產品安全與風險評估,及資安成果之評核,有效強化全體員工對資安的了解與重視,培養員工對資安的當責性(Accountability),並藉由滲透測試、弱點掃描及社交工程郵件等測試,期能將資安意識深植於公司組織文化之中,確保對個人及消費者資料之保護。
資安管理計劃(Information Security Management Programs)
我們持續研析資安風險與對應之防護戰略,實施各項有效的具體方案,包括資通系統營運持續運作管理、資訊安全漏洞分析、資訊安全內部查核、資訊安全管理外部認證、資安培訓、即時事件通報等,並藉由PDCA管理循環持續滾動及精進資安與個資保護管理作為。
資通系統營運持續運作管理
訂有公司層級之營運持續管理計劃,目的為當公司面臨潛在威脅或災害事件時,確保關鍵系統可迅速復原,降低對營運中斷所造成之影響,維持對客戶與社會之服務承諾。具體執行作為如下:
- 風險評估與營運衝擊分析(Business Impact Analysis, BIA)
營運衝擊分析表,針對各資通系統衡量其對內外部服務中斷、公司聲譽、法遵與股東權益之影響程度,並進行風險等級分類,評估其是否為關鍵核心資通系統。該分析結果作為營運持續管理策略與災害復原計畫(DRP)之基礎依據。 - 應變策略與備援規劃
依據風險評估結果,訂定各資通系統之復原時間目標(Recovery Time Objective, RTO)及復原點目標(Recovery Point Objective, RPO)。各系統以具備現代化軟體設計架構,包括導入雲端運算技術、建置本地與異地備援環境,提升彈性與可擴展性,以確保系統在突發事件發生時能夠迅速恢復運作。 - 災害復原計畫與演練(Disaster Recovery Plan, DRP)
針對高關鍵性系統,依照上述風險評估與應變策略結果建立災害復原計畫,並每半年進行一次演練(如模擬核心平台或資料庫異常),以驗證計畫有效性及內部協同反應能力。2024年共完成2次DRP演練,涵蓋28個關鍵系統,確保系統於中斷發生後可於4小時內恢復至基本運作水準,並可將資料回復至中斷前5分鐘之狀態(RPO ≤ 5分鐘)。
資通訊安全弱點分析
為確保服務系統與軟體安全,我們每半年針對資通訊系統及應用軟體程式進行弱點掃描,涵蓋主機、網頁、開源軟體之弱點檢測,此外,針對具關鍵營運影響的核心資通系統,亦委託具備國際資安認證資格能力之第三方單位,透過專業工具與流程,模擬駭客攻擊手法執行弱點分析、紅隊演練(Red Team Exercise) 與滲透測試(Penetration Testing),測試範圍包含實體安全、網站/主機弱點、邊界探測、內網橫向入侵等項目,若檢測結果發現弱點,依弱點曝險嚴重程度,於規定時限內完成修補並通過複測,縮短零時差(0-day)漏洞空窗期。
資通安全事件通報與應變處理作業程序
我們已建立完善資通安全事件之預防通報、應變及改善機制,並訂定「資通安全事件通報與應變處理作業程序」,明確規範各項應變流程。透過智慧資安監控中心 (CHT SOC),即時掌握資安風險並能提早進行因應,以預防重大資通安全事件造成營運損失。
一旦員工發現疑似資安事件,依既有資安事件處理程序,透過電子郵件(E-mail)等方式向資安專責人員通報。若證實為資安事件,立即啟動緊急應變程序,於規定時限內完成應變處理,其程序如下:
- 事件分級與通報原則:依資安事件影響範圍及損害程度進行分級處理。若為重大資安事件(如個資外洩或涉及電信關鍵基礎設施之核心業務資料外洩),由CHT SOC立即通報資通安全長並升級處理。
- 成立緊急應變小組:由事件發生相關單位、資安技術人員、資訊技術人員與網路技術人員等組成跨部門小組,啟動緊急應變計畫,完成損害控制或復原作業,並進行調查作業,確認事件根因,清查損害範圍,及保存相關事證,預防損害擴大。
- 依法通報主管機關與協防:依《資通安全管理法》與主管機關規定,自事件知悉後1小時內完成初步通報,並依事件嚴重程度於36或72小時內完成損害控制或復原作業。必要時,將透過主管機關資安緊急應變中心(C-CERT)聯繫其他業者、執法機關或協防單位支援。
- 事後檢討與改善:對事件所造成之衝擊、損害及影響進行檢討,個案看通案,擬訂具體改善方案,防範事件再次發生。
我們特訂「員工主動通報資安(個資)事件獎勵辦法」提供員工獎金,以鼓勵員工主動通報可疑的資安事件。
完整資安培訓
中華電信為專業資安解決方案提供者,多年來投入充足資源孕育優質資安人才,資安研發團隊超過百人。我們定期辦理「資安與個資保護」教育訓練,要求全體員工須100%完成訓練,並涵蓋承攬商(含委外人員、派駐本公司服務之子公司人員)。
此外,我們針對不同階層主管、系統管理、網路管理、軟體及應用程式開發、資安管理等工作領域,分別設計進階訓練課程,提升資安與個資隱私保護知識與技能,使所有人員於開發初期即將資安與個資保護納入考量(Security by Design),並補助員工取得外部專業證照費用。具體成效如下:
- 2024年舉辦188場資安與個資保護教育訓練,共計47,925人次參與,總訓練時數達229,312小時。
- 每年辦理2次電子郵件社交工程演練,2024年誤點擊率低於0.2%,有效提升對進階持續性威脅(APT)攻擊的認識,並增強了員工的資安防護能力,提升員工資通安全意識。
- 截至2024年,中華電信員工累積已取得1000張以上國際資安相關證照(如:ISO 27001 LA、CISSP、GWAPT、CEH、CHFI、ECSA、CISA、MCSA、BS10012 LA等)。
資通訊安全管理內部查核
依循《資通安全管理法》、《電信事業資通安全管理辦法》及我們的《資通安全政策》等相關法令規定,每年定期辦理資通訊安全內部查核,另依《公開發行公司建立內部控制制度處理準則》,由直屬董事會之總公司稽核處每年辦理資訊安全相關之內部控制稽核,確保資安管理制度之實施與安全防護措施的有效執行。
資通訊安全管理外部認證
中華電信資通安全管理(ISMS)及個資隱私管理(PIMS)已取得ISO 27001、ISO 27701、ISO 27017、ISO 27018、BS 10012等資安與個資隱私標準證書,認證範圍涵蓋我們營運活動及100% IT相關基礎建設,包含行動網路、固定通信網路、國際網路、數據網路、大數據分析、資訊服務、雲端服務、客服、企客、研發、教育訓練等各項主要業務。
年度資安成果
資安與個資風險控管情形,納入「風險管理推動委員會」每月追蹤管理,若有重大風險議題提報至風險管理委員會,或直接向董事會報告。
在嚴謹機制控管規範下,2024年無發生因資安或個資外洩而導致業務影響或遭裁罰之情事,並已投保「資安險-資料保護險」,保障客戶及投資人權益。
| 項目 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 資通安全事故總件數(件) | 0 | 0 | 0 |
| 因資通安全事故導致顧客資料遺失總件數(件) | 0 | 0 | 0 |
| 因資通安全事故受影響的顧客數/員工數(人) | 0 | 0 | 0 |
- 中華電信資通安全管理專責單位:資通安全處
- 更多中華電信「資通安全與個資保護」相關資訊,詳我們的年報。( 前往公司年報 )