今年國內上市櫃公司舉行的股東常會進入尾聲,6月下旬持續有多家業者召開說明會,電信與電商成新聞焦點,如PChome(網家8044)22日舉行股東會,揭露經營成績及改善狀況,隔日,台灣大哥大(台灣大3045)召開股東會,許多媒體關注合併台灣之星後的表現,以及對亞太之星的持股可能影響遠傳併購,在這些營運概況話題外,由於金管會要求上市櫃公司年報需公開資安現況,因此,我們也找到這兩家公司的年報內容,看看他們揭露自身資安防護現況的程度,藉此了解兩家公司看待資安風險的態度。

不只營運概況說明受關注,資安管理也成焦點

回顧這一年多來,國內電信與電商業者發生幾起重大資安事件,像是去年初電信品牌主推的品牌手機,被揭露出廠前即被植入惡意程式,以及電商個資外洩解除分期詐騙案也頻傳,特別是2021年高風險賣場通報案件,較往年遽增的情況,去年年度前五名為誠品書店、東森購物、蝦皮購物、婕洛妮絲與金石堂。而從商業經營的角度而言,我們看待這些事故時,不僅該注意營運情形與發展策略,也須關切企業對資訊安全管理的投入程度,今年公司年報既然已記載資安現況,此處顯然也成眾人了解這些公司具體資安作為的重要管道。

隨著證交所規範今年上市櫃公司需在年報揭露資安作為,上述兩家業者在股東常會舉辦之際,也如預期於年報登載這些公司的資安概況。

例如,在資訊安全組織架構的揭露上,以網路家庭而言,該公司從2018年開始成立專責資訊安全部門,由資安長擔任資訊安全小組召集人,召集資安工作小組負責危機處理與安全,以及指派各事業單位高階管理者組成資安推動分組,並且透過每季召開會議,建立稽核分組與資安督導,落實資訊安全管理措施的有效性。同時,將定期向執行長與董事會審計委員會彙報資安管理成效、資安相關議題及方向。

以台灣大哥大而言,在資安管理架構上,該公司是以董事會為最高決策機構,由總經理率領第一級控管機制,設置資通訊暨個資安全管理處,並設置第二級控管機制的資通訊暨個資隱私安全委員。

關於具體管理方案與投入資源的部分,這兩家公司也有揭露相關資訊。舉例來說,網路家庭除了公布了四個防護重點環節,包括資安管理、外部稽核、內部稽核與課程測驗,較特別的是,還公布了具體相關具體數據,例如,在提升員工資安意識方面,針對216名IT人員,進行駭客攻擊手法認知、安全程式開發與網路系統加固防護的訓練,並針對861名員工完成資安意識教育訓練,以及751新進員工的資安與個資保護訓練。

而在資安風險持續改善措施方面,包括每季執行資訊循環稽核,稽核項目分10大項、71小項,本年度並完成136次弱點掃描,及時修補2245個弱點,還有進行527個人天的攻防演練,以及完成595份供應鏈合約資安評估。

至於台灣大哥大,也在年報中簡單說明畫分4大防護面向:在對外防護上,建立入侵防禦、網路區隔、防火牆與網頁防火牆;對內防護上,有資料外洩防護偵測與補強;在系統規畫建置上,納入系統開發安全規範,以及程式碼掃描;在維運監控上,建置資安監控中心、檢核與分析系統紀錄。另外,還提及將分配一定比例於資通安全預算。

綜合來看,兩家企業均陳述自身資安管理作為,但資訊揭露的具體程度仍有改進空間。

至於重大資安事件的揭露,也是外界關注的部分。上述兩家公司在2021年至今,未在證交所發布資安事件重大訊息,但從媒體報導來看,並非如此,如台灣大哥大自有品牌手機爆發影響民眾的資安事件,驚動政府出面協調。

當時該公司的Amazing A32手機出廠即含有惡意程式,造成購買手機的用戶,遭網路攻擊者竊取該手機所使用的門號資訊、攔截OTP驗證碼,並成為詐領遊戲點數人頭帳戶遭警方調查,同日台灣大哥大宣布將與合作廠商「力平國際」合作,召回Amazing A32手機,替用戶升級手機作業系統。遺憾的是,這起資安事故,並未在臺灣大哥大這次年報看到相關說明,若能供具體調查與因應,應該會更讓股東們與外界更瞭解後續調查及處理情況。對此,台灣大哥大回應,在他們年報中登載的內容就是目前可提供的資訊。至截稿前,尚未取得網家對電商資安相關問題的回應。

金管會下令上市櫃公司需在年報記載資通安全管理現況,台灣大哥大在6月23日股東會前夕釋出公司年報(連結),揭露資通安全風險管理架構與組織架構。

金管會下令上市櫃公司需在年報記載資通安全管理現況,網路家庭在6月22日股東會前夕釋出公司年報(連結),揭露資通安全風險管理架構與組織架構。


熱門新聞

Advertisement