經濟面

資通安全

更新日期:2021/02/19

    堅若磐石的資通訊安全基礎設施是一切電信服務的根本,中華電信(以下簡稱本公司)以「打造符合國際標準之最有價值、安全、可靠與可信賴的電信服務商」之資通安全願景為出發點,透過自主研發的智慧資安監控中心(CHT SOC),能於駭客攻擊前期,採取更積極態度,及時發掘隱藏惡意行為並獵殺可能之威脅,從源頭即落實「資通安全政策」及「隱私權保護政策」,依PDCA循環持續檢討修正並融入在日常營運活動中,達成「零容忍」重大資安與個資事故之目標,促進社會智慧生活及數位經濟之發展。

                   前往瞭解我們的《資通安全政策


組織運作

    本公司已設罝「資通安全與個資保護策略委員會」(如下圖),由董事長指派總公司執行副總擔任「資通安全長(CISO)」,定期召開「資通安全工作會議」及「個資隱私保護工作會議」,監督與管理資安與個資及隱私權保護運作情形,並定期向董事會報告。
    2016年設置資通安全管理專責單位,對齊法規及新業務之技術發展,統籌整體資通安全政策、規範訂定與編修,資通訊設備安全集中資安監控與聯防,以降低企業資安風險,促進公司新興業務發展,提供客戶安全可信賴的數位環境。
 

資通安全治理

    隨著新興科技應用普及(如5G、IOT、AI、雲端服務)及駭客攻擊型態趨於多元,為充分支持並達成公司各項業務之策略與目標,我們建立了符合營運目標的資通安全政策,逐步推動各項具體管理方案,包含:實施適切的風險管理,落實嚴密的資通安全防護管理,善盡客戶個資與隱私保護,同時,透過情資收集及預警,即時掌控資通安全事件,快速通報與處理,並以適當方式遴選及監督供應商,確保上下游供應鏈安全。
    針對聘僱人員辦理資安教育訓練及宣導,以內化員工資安與個資保護意識,並定期辦理資通安全檢測,內外部及第三方稽核,量測各項資通訊安全活動之有效性,並將評量結果回報給管理階層作為審查之用,藉由Plan-Do-Check-Act(PDCA)管理循環,持續滾動及精進資安與個資保護管理作為,以確保資安與個資隱私保護合規。

資通安全風險管理機制

    為確保本公司「資通訊系統」及「關鍵基礎設施」之安全,本公司參考NIST Cybersecurity Framework(CSF)安全框架,並依循國內外標準及法規,建立「資安與個資風險管理架構」(如下圖),預防可能之風險,實施具體有效的安全防護及個資隱私保護措施。

    本公司以風險管理為導向,衡量資安治理成熟度,每年依據外部環境及內部風險評估結果,修訂本公司資通安全政策與規範,進行全員認知宣導,納入所有員工的績效評核項目,並定期執行內外部稽核,並通過主管機關查核及第三方認證(ISO 27001 / ISO 27011 / BS10012 / CSA STAR Certification,證書持續有效),以提供客戶更完善的資安與個資隱私保護。

資通安全投入資源

    本公司多年來投入大量資源孕育優質資安人才,推升資安自主研發能量,配置有資通安全專職(責)人員及資安研發團隊超過百人,除定期辦理全體員工資安與個資保護教育訓練,達100%目標外,另針對系統管理、網路管理、程式開發、資安管理、資安檢測、個資保護等專業工作領域,安排資安與個資專業訓練課程,並補助員工取得外部專業證照費用。累積取得839張以上國際證照(如:ISO27001 LA、CISSP、GWAPT、CEH、CHFI、ECSA、CISA、MCSA、BS10012 LA等)。

資通安全事件

    本公司資安與個資風險控管情形,已納入本公司「風險管理委員會」每月追蹤管理,若有重大風險議題提報至董事會審計委員會,或直接向董事會報告,綜觀歷年國內發生之重大資安事故,本公司除已提前部署如禁用網路芳鄰、AD網域安控及APT郵件阻擋等防禦機制外,同時利用智慧型資安監控平台平時可偵測違規風險事件,並依據情資,快速回溯清查外部威脅事件對本公司的影響,截至2020年,本公司並無因資安或個資外洩影響本公司業務或遭裁罰之情事,另於2020年規劃投保資安險,預計2021年辦理採購。

 

 

**中華電信資通安全管理專責單位:資通安全處

**更多中華電信「資通安全與個資保護」相關資訊,詳我們的年報。(公司年報 )