資通系統營運持續運作管理

我們的營運持續管理規劃，旨在確保企業在面臨潛在威脅和災害時能夠迅速恢復系統運作，並減少影響。具體作為如下：

• 風險評估：透過設計企業內部資訊系統營運衝擊分析(BIA, business impact analysis)表，內容包括：是否屬重要關鍵系統、對內外服務的衝擊與影響、公司聲譽與形象或股東權益等面向，藉以量化評估各資通系統對公司營運影響的風險程度，作為應變策略和系統復原規劃之依據。
• 應變策略：建立公司層級資通系統營運持續管理規範，依風險評估結果訂定不同資通系統復原時間目標、復原點目標等指標，以現代化軟體設計架構，結合雲端運算技術之高度彈性與可擴展性，各系統建置其備份、(異地)備援環境，以確保系統在突發事件發生時能夠迅速恢復運作。
• 系統復原：依風險評估與應變策略結果，建立災害復原計畫(DRP, Disaster Recovery Plan)，並針對重要關鍵系統，每半年執行一次資通系統營運持續演練作業(演練情境如：模擬核心平台、資料庫發生重大異常等事件)，確保在災害發生時，能夠迅速調整資源快速恢復運作。2024年完成2次DRP演練，涵蓋公司28個關鍵系統，確保系統恢復到最低營運水準可運行所需時間(小於4小時)，以及回復至中斷前5分鐘內的資料。

資通訊安全弱點分析

我們為確保服務系統與軟體安全，除內部每半年針對資通訊系統及應用軟體程式進行弱點掃描(包含主機弱點檢測、網頁弱點檢測、開源軟體弱點檢測)外，針對我們的重要核心資通系統，委託外部具國際資安認證資格能力之第三方，透過專業工具與流程，模擬駭客攻擊手法執行弱點分析(Conduct simulated h acker attacks as part of third-party vulnerability analysis)，執行紅隊演練(Red Team) 與滲透測試(Penetration Testing)，項目至少包含實體安全測試、網站/主機測試、邊界探測、內網橫向入侵等，若檢測結果發現弱點，依弱點曝險嚴重程度，於規定時限內完成修補並通過複測，縮短零時差(0-day)漏洞空窗期。

資通安全事件通報與應變處理作業程序

我們已建立完善資通安全事件之預防通報、應變及改善機制，制定「資通安全事件通報與應變處理作業程序」，透過智慧資安監控中心 (CHT SOC)，即時掌握資安風險並能提早進行因應，預防重大資通安全事件所遭受之損失，並定期執行演練，以確保事故發生或營運中斷時，啟動相關復原作業。員工一旦發現疑似資安事件，依既有資安事件處理程序，透過email信箱向資安專責人員通報。若證實為資安事件，立即啟動緊急應變程序，於規定時限內完成應變處理，其程序如下：

• 升級處理原則：評估影響範圍及損害程度，採分級因應，如為重大資安事件(如個資或涉及電信關鍵基礎設施維運之核心業務資訊有外洩之虞等情事)，CHT SOC 立即通報「資通安全長」。
• 成立緊急應變小組(成員包含事件相關單位、資安技術人員、資訊技術人員等)，啟動緊急應變計畫，完成損害控制或復原作業，並進行調查作業，確認事件根因，清查損害範圍，及保存相關事證，預防損害擴大。
• 依循資安法規要求於知悉1小時內完成主管機關通報，並依資安事件等級分別於36或72小時內完成損害控制或復原作業。如需其他業者、執法單位、協防單位等外部單位支援或協助時，我們將透過主管機關資安緊急應變中心 (C-CERT) 尋求必要之協助。
• 對事件所造成之衝擊、損害及影響進行檢討，個案看通案，擬訂具體改善方案，防範事件再次發生。

我們特訂「員工主動通報資安(個資)事件獎勵辦法」提供員工獎金，以鼓勵員工主動通報可疑的資安事件。

完整資安培訓(Information security awareness training)

中華電信為專業資安解決方案提供者，多年來投入充足資源孕育優質資安人才，資安研發團隊超過百人。我們定期辦理「資安與個資保護」教育訓練，要求全體員工須100%完成訓練，並涵蓋承攬商（含委外人員、派駐本公司服務之子公司人員）。

此外，我們針對不同階層主管、系統管理、網路管理、軟體及應用程式開發、資安管理等工作領域，分別設計進階訓練課程，提升資安與個資隱私保護知識與技能，使所有人員於開發初期即將資安與個資保護納入考量（Security by Design），並補助員工取得外部專業證照費用。

• 2024年舉辦188場資安與個資保護教育訓練，共計47,925人次參與，總訓練時數達229,312小時。
• 每年辦理2次電子郵件社交工程演練，2024年誤點擊率低於0.2%，有效提升對進階持續性威脅（APT）攻擊的認識，並增強了員工的資安防護能力，提升員工資通安全意識。
• 截至2024年，中華電信員工累積已取得1000張以上國際資安相關證照（如：ISO 27001 LA、CISSP、GWAPT、CEH、CHFI、ECSA、CISA、MCSA、BS10012 LA等）。

資通訊安全管理內部查核

依循《資通安全管理法》、《電信事業資通安全管理辦法》及我們的《資通安全政策》等相關法令規定，每年定期辦理資通訊安全內部查核，另依《公開發行公司建立內部控制制度處理準則》，由總公司稽核處(直屬董事會)每年辦理內控稽核，確保安全管控措施落實執行。

資通訊安全管理外部認證

中華電信資通安全管理（ISMS）及個資隱私管理（PIMS）已取得ISO 27001、ISO 27701、ISO 27017、ISO 27018、BS 10012等資安與個資隱私標準證書，認證範圍涵蓋我們營運活動及100% IT相關基礎建設，包含行動網路、固定通信網路、國際網路、數據網路、大數據分析、資訊服務、雲端服務、客服、企客、研發、教育訓練等各項主要業務。