經濟面

資通安全

更新日期：2021/02/19

堅若磐石的資通訊安全基礎設施是一切電信服務的根本，中華電信（以下簡稱本公司）以「打造符合國際標準之最有價值、安全、可靠與可信賴的電信服務商」之資通安全願景為出發點，透過自主研發的智慧資安監控中心(CHT SOC)，能於駭客攻擊前期，採取更積極態度，及時發掘隱藏惡意行為並獵殺可能之威脅，從源頭即落實「資通安全政策」及「隱私權保護政策」，依PDCA循環持續檢討修正並融入在日常營運活動中，達成「零容忍」重大資安與個資事故之目標，促進社會智慧生活及數位經濟之發展。

前往瞭解我們的《資通安全政策》

組織運作

本公司已設罝「資通安全與個資保護策略委員會」(如下圖)，由董事長指派總公司執行副總擔任「資通安全長(CISO)」，定期召開「資通安全工作會議」及「個資隱私保護工作會議」，監督與管理資安與個資及隱私權保護運作情形，並定期向董事會報告。
2016年設置資通安全管理專責單位，對齊法規及新業務之技術發展，統籌整體資通安全政策、規範訂定與編修，資通訊設備安全集中資安監控與聯防，以降低企業資安風險，促進公司新興業務發展，提供客戶安全可信賴的數位環境。

資通安全治理

隨著新興科技應用普及(如5G、IOT、AI、雲端服務)及駭客攻擊型態趨於多元，為充分支持並達成公司各項業務之策略與目標，我們建立了符合營運目標的資通安全政策，逐步推動各項具體管理方案，包含：實施適切的風險管理，落實嚴密的資通安全防護管理，善盡客戶個資與隱私保護，同時，透過情資收集及預警，即時掌控資通安全事件，快速通報與處理，並以適當方式遴選及監督供應商，確保上下游供應鏈安全。
針對聘僱人員辦理資安教育訓練及宣導，以內化員工資安與個資保護意識，並定期辦理資通安全檢測，內外部及第三方稽核，量測各項資通訊安全活動之有效性，並將評量結果回報給管理階層作為審查之用，藉由Plan-Do-Check-Act（PDCA）管理循環，持續滾動及精進資安與個資保護管理作為，以確保資安與個資隱私保護合規。

資通安全風險管理機制

為確保本公司「資通訊系統」及「關鍵基礎設施」之安全，本公司參考NIST Cybersecurity Framework（CSF）安全框架，並依循國內外標準及法規，建立「資安與個資風險管理架構」(如下圖)，預防可能之風險，實施具體有效的安全防護及個資隱私保護措施。

本公司以風險管理為導向，衡量資安治理成熟度，每年依據外部環境及內部風險評估結果，修訂本公司資通安全政策與規範，進行全員認知宣導，納入所有員工的績效評核項目，並定期執行內外部稽核，並通過主管機關查核及第三方認證(ISO 27001 / ISO 27011 / BS10012 / CSA STAR Certification，證書持續有效)，以提供客戶更完善的資安與個資隱私保護。

資通安全投入資源

本公司多年來投入大量資源孕育優質資安人才，推升資安自主研發能量，配置有資通安全專職(責)人員及資安研發團隊超過百人，除定期辦理全體員工資安與個資保護教育訓練，達100%目標外，另針對系統管理、網路管理、程式開發、資安管理、資安檢測、個資保護等專業工作領域，安排資安與個資專業訓練課程，並補助員工取得外部專業證照費用。累積取得839張以上國際證照(如：ISO27001 LA、CISSP、GWAPT、CEH、CHFI、ECSA、CISA、MCSA、BS10012 LA等)。

資通安全事件

本公司資安與個資風險控管情形，已納入本公司「風險管理委員會」每月追蹤管理，若有重大風險議題提報至董事會審計委員會，或直接向董事會報告，綜觀歷年國內發生之重大資安事故，本公司除已提前部署如禁用網路芳鄰、AD網域安控及APT郵件阻擋等防禦機制外，同時利用智慧型資安監控平台平時可偵測違規風險事件，並依據情資，快速回溯清查外部威脅事件對本公司的影響，截至2020年，本公司並無因資安或個資外洩影響本公司業務或遭裁罰之情事，另於2020年規劃投保資安險，預計2021年辦理採購。

**中華電信資通安全管理專責單位：資通安全處

**更多中華電信「資通安全與個資保護」相關資訊，詳我們的年報。(前往公司年報 )