經濟面

資通安全

更新日期:2021/05/05

    堅若磐石的資通訊安全基礎設施是一切電信服務的根本,中華電信(以下簡稱本公司)以「打造符合國際標準之最有價值、安全、可靠與可信賴的電信服務商」之資通安全願景為出發點,透過自主研發的智慧資安監控中心(CHT SOC),能於駭客攻擊前期,採取更積極態度,及時發掘隱藏惡意行為並獵殺可能之威脅,從源頭即落實「資通安全政策」及「隱私權保護政策」,依PDCA循環持續檢討修正並融入在日常營運活動中,達成「零容忍」重大資安與個資事故之目標,促進社會智慧生活及數位經濟之發展。

                   前往瞭解我們的《資通安全政策


1.組織運作

    本公司已設罝「資通安全與個資保護策略委員會」(如下圖),由董事長指派總公司執行副總擔任「資通安全長(CISO)」,定期召開「資通安全工作會議」及「個資隱私保護工作會議」,監督與管理資安與個資及隱私權保護運作情形,並定期向董事會報告。
    2016年設置資通安全管理專責單位,對齊法規及新業務之技術發展,統籌整體資通安全政策、規範訂定與編修,資通訊設備安全集中資安監控與聯防,以降低企業資安風險,促進公司新興業務發展,提供客戶安全可信賴的數位環境。
 

2.資通安全治理

    隨著新興科技應用普及(如5G、IoT、AI、雲端服務)帶動下,資訊安全威脅已演變成多面向且複合式攻擊,此外,供應鏈攻擊型態趨於多元,軟體供應商被入侵且植入惡意程式事件頻傳,增加企業資通安全管理之挑戰。為充分支持並達成公司各項業務之策略與目標,我們建立了符合營運目標的資通安全政策,逐步推動各項具體管理方案,包含:
*實施適切的風險管理,將安全需求預先納入建設規劃,落實嚴密的資通安全防護管理,以適當方式遴選及監督供應商,確保上下游供應鏈安全,善盡個資隱私保護。
*部署多層次縱深防禦與偵測機制,智慧化資安監控,於駭客攻擊前期,及時發掘隱藏惡意行為並獵殺可能之威脅,同時透過情資收集及預警,即時掌控資通安全事件,快速通報與處理。
*辦理紅隊演練及資安健診並與國家層級C-ISAC資安通報聯防,參與國家級CI & CII演習,威脅情資交換及漏洞預警,確保防禦有效性、安全性及強韌性。
針對聘僱人員辦理資安教育訓練及宣導,以內化員工資安與個資保護意識,並定期辦理資通安全檢測,內外部及第三方稽核,量測各項資通訊安全活動之有效性,並將評量結果回報給管理階層作為審查之用,藉由Plan-Do-Check-Act(PDCA)管理循環,持續滾動及精進資安與個資保護管理作為,以確保資安與個資隱私保護合規。

 

3.資通安全風險管理機制

    為確保本公司「資通訊系統」及「關鍵基礎設施」之安全,本公司參考NIST Cybersecurity Framework(CSF)安全框架,並依循國內外標準及法規,建立「資安與個資風險管理架構」(如下圖),預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。

    本公司以風險管理為導向,衡量資安治理成熟度,每年依據外部環境及內部風險評估結果,修訂本公司資通安全政策與規範,進行全員認知宣導,納入所有員工的績效評核項目,並定期執行內外部稽核,並通過主管機關查核及第三方認證(ISO 27001 / ISO 27011 / BS10012 / CSA STAR Certification,證書持續有效),以提供客戶更完善的資安與個資隱私保護。

4.資通安全投入資源

    本公司為專業資安解決方案提供廠商,具備全方位的資安異常偵測預警能力,公司多年來投入大量資源孕育優質資安人才,資安研發團隊超過百人,推升資安自主研發能量,除對外提供專家滲透測試、資安健診等服務,內部亦配置資通安全專職(責)人員,其中包含10年以上資安經驗且具有CEH,ECSA,GWAPT等資安證照資安檢測團隊,扮演獨立第三方,模擬駭客手法,執行紅隊演練,若檢測結果發現漏洞,則於規定時限內完成修補並通過複測。
本公司定期辦理全體員工資安與個資保護教育訓練,達100%目標外,另針對系統管理、網路管理、程式開發、資安管理、資安檢測、個資保護等專業工作領域,安排資安與個資專業訓練課程,並補助員工取得外部專業證照費用。累積取得830張以上國際證照(如:ISO27001 LA、CISSP、GWAPT、CEH、CHFI、ECSA、CISA、MCSA、BS10012 LA等)。

5.資通安全事件

    本公司資安與個資風險控管情形,已納入本公司「風險管理委員會」每月追蹤管理,若有重大風險議題提報至董事會審計委員會,或直接向董事會報告,綜觀歷年國內發生之重大資安事故,本公司除已提前部署如禁用網路芳鄰、AD網域安控及APT郵件阻擋等防禦機制外,同時利用智慧型資安監控平台平時可偵測違規風險事件,並依據情資,快速回溯清查外部威脅事件對本公司的影響,截至2020年,本公司並無因資安或個資外洩影響本公司業務或遭裁罰之情事。2020年接軌國際趨勢,規劃投保「資料保護保險」,於2021年辦理採購。

 

 

**中華電信資通安全管理專責單位:資通安全處

**更多中華電信「資通安全與個資保護」相關資訊,詳我們的年報。(公司年報 )