從標準合規到營運競爭力！中華電信指引上市櫃企業資安治理的三大必修學分

2025/05/12

2,945

從標準合規到營運競爭力！中華電信指引上市櫃企業資安治理的三大必修學分 — 中華電信參與2025資安大會，指引上市櫃企業面對資安挑戰，落實資安治理。(圖為中華電信資訊技術分公司資訊安全應用處高級工程師沈雅婷)

摘要

資安風險不再只是IT部門的責任！從勒索病毒、釣魚詐騙到供應鏈滲透，新型態的資安手法不僅衝擊財務與商譽，更可能導致營運停擺。特別是針對上市櫃企業，金管會發布《上市上櫃公司資通安全管控指引》，明確將資安治理納入企業永續經營的核心元素。企業除了遵循標準框架，更應將治理思維融入日常營運。中華電信分享資安治理的三大必修學分，協助企業從合規走向競爭力。

企業面對日益更新的駭客攻擊事件，常有哪些錯誤迷思？長期站在第一線輔導企業的中華電信資訊技術分公司資訊安全應用處高級工程師沈雅婷，指出：「企業買保險，不代表其就不需要風險管理制度；相對地，資安對於現代企業應該要拉高到『治理層級』，而非僅是IT部門的責任。」

學分一：合規不只是手段，而是制度落地的起跑線

實際上，上市櫃企業的資安責任已升級成「法定義務」。2021年金管會首度發布《上市上櫃公司資通安全管控指引》就明文規定，企業應設置專責單位、建立資安機制、落實資產盤點、實施權限控管、定期進行風險評估與通報演練等規範。但攤開整份指引，可以發現資安合規要求不僅主題廣泛，且涉及多項資安管理範疇。

企業要養出資安韌性體質，第一步該怎麼做？沈雅婷提到，「先選出企業的資安負責人，像是設立資安主管（CISO）並親身設計與建立資安責任矩陣，接著導入國際資安管理標準，如ISO 27001、NIST CSF框架，讓資安管理循環（PDCA）持續改進，讓資安文化真正內化為制度，確保從高層到基層都能落實遵循。」

此外，建立資安文化過程，聯手外部專業顧問更有助益。沈雅婷指出，企業在導入技術防禦措施，如多因素驗證（MFA）、端點偵測回應（EDR）、零信任架構（ZTA）可透過顧問加速建置時程，更重要的是，中華電信結合自身多年輔導經驗，並能依《上市上櫃公司資通安全管控指引》各章節要求，提供對應的產品及服務方案。

中華電信團隊能結合自身多年輔導經驗，並依《上市上櫃公司資通安全管控指引》各章節要求，提供企業對應的產品及服務方案。(圖為中華電信資訊技術分公司資訊安全應用處高級工程師沈雅婷)

「因為我們中華電信顧問輔導服務團隊涵蓋各領域技術人才，能精準分析客戶的資安管控機制有哪些可改進之處，進而提出具體建議。例如搭配NIST CSF成熟度自評架構（Tier 1～4），幫助企業釐清當前所處的治理階段，建立一套可追蹤、可驗證的資安策略地圖。」沈雅婷補充道。

學分二：資安邊界已消失，防禦必須以資料為本

另一個顯著的資安議題，來自於混合雲、多元SaaS應用、第三方API串接、甚至生成式AI部署，都讓資安邊界逐漸「消失」，連帶傳統防火牆式或縱深防禦已不敷使用。面對此情境，沈雅婷建議企業應轉向「以數據/資料為核心」的防護模式，並且補強內部營運的三大重要環節。

這三個環節分別是：身份與存取管理（IAM）、組態管理與資產可視性及供應鏈風險控管。藉由零信任架構（Zero Trust Architecture）、自動化風險通報（SOAR）機制、甚至利用AI工具針對使用者與實體之異常行為分析（UEBA），助力公司內部資料以設立多重驗證與權限邊界，進而保護企業最核心的資產。

不過要掌握內部數位資產是否存在漏洞，或及早識破企業外部網站、系統的資安盲區，很多時候因企業人力有限，無法即時完成任務追蹤。對此，中華電信提到，他們與工研院合作開發出一項利用EASM（External Attack Surface Management）技術的曝險評級服務-資安眼，可透過非侵入方式Outside-In，掃描企業在網際網路對外開啟的官方網站、交易網站、雲端服務等資產的曝險情形，進而協助企業迅速識別、應對潛在的資安風險，建立以資料為本、動態防禦的資安新體質。

學分三：資安治理透明度，成客戶信任與競爭力基石

根據IBM《Data Breach Report》調查，2024年平均資安事件造成的財損約488萬美元。上市櫃公司若一再忽略資安風險，不僅可能被主管機關開立罰則，更嚴重是失去股東、客戶及供應鏈廠商的信任而影響營收，造成蝴蝶效應衝擊企業的品牌競爭力。

因此沈雅婷盤點資安治理的第三個學分，建議企業要強化「資安治理的透明度」與「信任度」，特別是在ESG浪潮之下，資安治理已被納入「G」（Governance）項目的評估指標。因此資安治理不再只是被動防守、避免受罰的靜態策略，更要主動出擊，展現「透明即是力量，治理即是價值」的行動姿態。

至於供應鏈及雲端安全的透明度，有哪些實務方法？首先是建立供應鏈安全評估機制，定期檢視合約中的資安責任與條款，稽查供應商資安管理落實情形。其次是針對雲端安全，可參考雲端安全標準，多加運用雲端環境原生資安工具來強化配置安全。除了技術面，沈雅婷也提及，目前中華電信的資安顧問團隊聘有專業律師，針對《資安法》、《個資法》的實務規範，展現「技術＋法規」雙軌優勢，更能補強客戶的資安管理制度。

由此觀之，資安不是口號，而是一套需要真正落地執行的企業治理行動。從建立合規制度、跨越資安邊界、到邁向信任治理的三大必修學分，是所有上市櫃企業迎向永續經營與市場信任的關鍵路徑。最後中華電信呼籲企業「現在正是行動的時刻」，唯有及早佈局，才能在風險變局中，築起堅實的營運韌性。

編按：中華電信顧問輔導服務團隊輔導範圍包含：ISMS、PIMS、BCMS、…等。中華電信擁有多年的資訊安全攻防實戰經驗，提供雲網端全方位資安防護服務，統合研發、實務、技術能力，提供事前檢測、事中監控應變、事後鑑識回復的資安產品及服務，一站式滿足政府及企業的資安需求，輔導客戶通過ISO 27001、27701、22301、BS 10012、PCIDSS等標準驗證並獲取證書。