經濟面

資通安全與個資保護

更新日期:2020/05/25

    堅若磐石的資通訊安全基礎設施是一切電信服務的根本,中華電信(以下簡稱本公司)以「打造符合國際標準之最有價值、安全、可靠與可信賴的電信服務商」之資通安全願景為出發點,從源頭即落實「資通安全政策」及「隱私權保護政策」,並融入在日常營運活動中,達成「零容忍」重大資安與個資事故之目標,促進社會智慧生活及數位經濟之發展。


組織運作

    本公司已設罝「資通安全與個資保護策略委員會」(如下圖),由董事長指派總公司執行副總擔任「資通安全長(CISO)」,定期召開「資通安全工作會議」及「個資隱私保護工作會議」,監督與管理資安與個資保護運作情形,並定期向董事會報告。
    2016年設置資通安全管理專責單位,對齊法規及新業務之技術發展,統籌整體資通安全政策、規範訂定與編修,資通訊設備安全集中資安監控與聯防,以降低企業資安風險,促進公司新興業務發展,提供客戶安全可信賴的數位環境。
 

資安與個資治理

    隨著新興科技應用普及(如5G、IOT、AI、雲端服務)及駭客攻擊型態趨於多元,為充分支持並達成公司各項業務之策略與目標,我們建立了符合營運目標的資通安全政策,逐步推動各項具體管理方案,包含:實施適切的風險管理,落實嚴密的資通安全防護管理,善盡客戶個資與隱私保護,同時,透過情資收集及預警,即時掌控資通安全事件,快速通報與處理,並以適當方式遴選及監督供應商,確保上下游供應鏈安全。
    針對聘僱人員辦理資安教育訓練及宣導,以內化員工資安與個資保護意識,並定期辦理資通安全檢測,內外部及第三方稽核,量測各項資通訊安全活動之有效性,並將評量結果回報給管理階層作為審查之用,藉由Plan-Do-Check-Act(PDCA)管理循環,持續滾動及精進資安與個資保護管理作為,以確保資安與個資隱私保護合規。

資安與個資風險管理機制

    為確保本公司「資通訊系統」及「關鍵基礎設施」之安全,本公司參考NIST Cybersecurity Framework(CSF)安全框架,並依循國內外標準及法規,建立「資安與個資風險管理架構」(如下圖),預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。

    本公司以風險管理為導向,衡量資安治理成熟度,每年依據外部環境及內部風險評估結果,修訂本公司資通安全政策與規範,進行全員認知宣導,納入所有員工的績效評核項目,並定期執行內外部稽核,通過主管機關及第三方認證(ISO 27001 / ISO 27011 / BS10012 / CSA STAR Certification等),認證效期涵蓋2020年度,以提供客戶更完善的資安與個資隱私保護。 

 

個資及隱私保護

    本公司依據法令法規及國際標準,建立個人及隱私資料保護管理制度及《隱私權保護政策》,並參考歐盟GDPR「privacy by design」之概念,有SOP與專責單位把關,貫穿應用產品/服務之生命週期,構建嚴密的保護措施與安全環境,避免客戶資料遭竊取、竄改及非法利用,符合相關主管機關嚴格要求,並對內部人員施予完善個資\隱私保護訓練。
    業務推展前進行個資盤點及隱私衝擊分析,我們透過各業務受理網站、APP、門市、客服專線等方式,藉由《個人資料蒐集告知聲明》明確告知當事人,並依所告知之特定目的範圍內利用,使用者可透過多元管道,取得及了解本公司蒐集、處理、利用及第三方揭露類別與方法,以及客戶行使之權利。
    有關隱私及個人資料之蒐集、儲存、處理及利用,依所告知之特定目的範圍內利用,由本公司自行管理,不會交換、出租或以其他變相之方式,揭露予第三方。若與第三方服務供應商合作時,則使用去識別化和假名化等技術,或以統計數據、趨勢或其他無法識別個人的身分之形式產出結果,進行資料交換,惟法令另有規定時(如:為增進公共利益所必要或防止他人權益之重大危害),本公司將依法僅提供必要資訊。本年度配合政府及執法機構辦理如下:
        因應新冠肺炎(COVID-19)疫情,本公司於2020/1/26起配合政府防疫需求,依《傳染病防治法》及《嚴重特殊傳染性肺炎防治及紓困振興特別條例》,以增進全民公共利益為前提,全台電信業者皆依法提供政府必要之資訊,協助政府推動居家隔離政策,遏止疫情擴散,本公司嚴格管控資料安全,並於結案後銷毀不留存資料,以維護客戶隱私。
        政府及執法機構為維護公共安全及打擊犯罪,向本公司行文調閱或查詢客戶資訊,本公司依《電信事業處理有關機關(構)查詢電信使用者資料實施辦法》及《電信事業處理有關機關查詢電信通信紀錄實施辦法》規定,經嚴格審查申請流程後,據此向政府及執法機構提供客戶資訊,本公司於2019年提供比例為98.24%。
    另,針對「疑似洩密申訴案件」,本公司於2019年接獲4件,其中,國家通訊傳播委員會(NCC)通知1件,透過客服專線投訴3件(較2018年減少9件,佔全年客服專線服務量0.0000085%),經調查後皆無洩漏個資之事實。

 

資安與個資保護投入資源

    本公司多年來投入大量資源孕育優質資安人才,推升資安自主研發能量,配置有資通安全專職(責)人員及資安研發團隊超過百人,除定期辦理全體員工資安與個資保護教育訓練,達100%目標外,另針對系統管理、網路管理、程式開發、資安管理、資安檢測、個資保護等專業工作領域,安排資安與個資專業訓練課程,並補助員工取得外部專業證照費用。累積取得839張以上國際證照(如:ISO27001 LA、CISSP、GWAPT、CEH、CHFI、ECSA、CISA、MCSA、BS10012 LA等)。

 

資安與個資事件

    本公司資安與個資風險控管情形,已納入本公司「風險管理委員會」每月追蹤管理,若有重大風險議題提報至董事會審計委員會,或直接向董事會報告,綜觀2019年,本公司並無因資安或個資外洩影響本公司業務或遭裁罰之情事。

**更多中華電信「資安與個資保護」相關資訊,請參閱2019公司年報頁第100頁