華電聯網

華電聯網因應我國資通安全管理法與個人資料保護法之法律遵循要求，以及期許通過ISO27001:2013、ISO27701:2019、BS10012:2017等相關標準需求，提供各公務機關、企業及其他組織之資通訊安全與個人資料保護管理制度建置、導入及維護等相關顧問輔導服務。顧問輔導內容包含: 

• ISO 27001 ISMS顧問服務
• ISO 27701／BS 10012 PIMS顧問服務
• 資通安全管理法合規顧問服務
• 個人資料保護法合規顧問服務
• 資安與個資教育訓練服務

華電聯網資安顧問團隊成員皆具有超過十年以上之資安或個資管理制度建置、導入及維護之實務經驗，擁有ISO 27001 ISMS LA、ISO 27701 PIMS LA、ISO 20000 ITSM LA、ISO 22301 BCMS LA、BS 10012 PIMS LA、CISA、CISM、CISSP、CEH、ISO 17025實驗室認證、EnCe數位鑑識調查員、ACE數位鑑識調查員及UFED手機鑑識調查員等相關證照。

華電聯網資安與個資管理顧問服務可協助客戶達到以下效益及目標:

• 建構系統化管理，掌控風險，避免資源浪費，節省營運成本
• 提升全體員工整體安全意識，因應全面資訊化時代
• 強化資安或個資事件應對與處理能量
• 提升客戶信任度與增進組織業務競爭力
• 通過ISO 27001:2013第三方驗證，獲得證書
• 通過ISO 27701:2019／BS 10012:2017第三方驗證，獲得證書

華電聯網累積多年國際工控安全、物聯網安全實務經驗，對企業現有或準備規劃智慧製造，推出一套完整實戰型工控網路安全方案，針對OT環境特有架構，採行Cisco、Microsost Azure Defender for IoT(Cyber X)、Palo Alto、Trend Micro TxOne等解決方案同時，協助企業在制訂跨IT/OT整合資安策略及政策、維運組織、安全風險評估、軟硬體建置，以及上下游供應鏈利害相關者等層面提供顧問諮詢服務，制定完整的安全防禦計畫。此方案能協助企業深入掌握IT/OT資產狀動態，準確控管環境安全漏洞及外洩可遭受攻擊途徑，提供現有工業網路的最佳配置，增強公司整體安全防禦效率。透過AI即時識別失當行為及潛在威脅，即時更新OT防禦架構，有效阻隔惡意軟體、駭客活動紀錄和攻擊手法。而AI經由學習則預判未來駭客攻擊方式，預先制定安全政策、及構築威脅模型。並整合防禦系統與非侵入式部署，制定統一且系統化之IT/OT資安政策，強化防禦回應效率，無須改變架構，即可進行深層分析，快速識別可疑的資安風險。

鑒於近年來資安事件頻傳，及蔡總統「資安及國安」政策，華電聯網於數年前專門成立資安專責部門，目標為研究各大威脅資訊情資，以及與各資安原廠緊密結合，提供給各機關及企業完整及詳細的資安解決方案。

針對網路、端點、內部威脅、網路可視度及權限管理等各大方面，華電聯網均提供高度整合產品；在各不同場域中，包含IT與OT的結合，以及5G相關資安保護內容，華電聯網亦有多項整合成功案例，可提供各機關及企業高整合性、高應用度的完整資安偵測及防禦解決方案。

華電聯網以豐富的資訊安全專業經驗，配合專業的檢測工具，提供資訊安全檢測服務。檢測服務項目包含弱點掃描服務、滲透測試服務、程式原始碼掃描、資安健檢、物聯網資安、行動應用APP檢測服務。

• 弱點掃描服務:

針對Web主機或電腦系統進行安全弱點掃描，可評估掃描標的物是否存在安全弱點，同時提供給客戶相關掃描結果，作為主機資訊安全的管理依據取得授權使用的掃描工具進行。根據掃描結果，將所發現之弱點與過程詳細記錄，並對結果進行分析，提出相關建議與掃描報告，以提供作為弱點修補之參考。

• 滲透測試服務:

滲透測試是透過模擬駭客的攻擊方式，對目標主機或網路服務進行安全強度的測試，以找出可能的資安漏洞，並提出改善建議。

• 資安健診服務:

資安健診服務是透過整合各項資訊安全項目的檢視服務作業，提供受檢單位資安改善建議，藉以實施技術面與管理面相關控制措施，以提升網路與資訊系統安全防護能力。

• 程式原始碼掃描:

源碼檢測以檢視原始程式碼的方式，尋找並指出程式中潛藏的安全性弱點，分析其弱點種類、攻擊路徑等資訊；透過分析結果，開發人員可以修改程式以避免弱點產生。

為協助企業或公務機關得以落實資安治理，華電聯網透過以下工作方法，協助企業或公務機關綜觀其完整IT/OT之資安工作推動現況具備之水準，以擬定後續之工作推動計畫，並構建正確的資安投資與策略部署：

• 組織背景資訊理解

透過先期訪談，理解分析對象之組織業態、規模、組織架構（包含行政部門及任務編組型態之各功能委員會、工作小組等），以釐清主要利害相關人、其關切議題與潛在風險。

• 合適的評估框架選擇

基於先期訪談之成果，選用適用之評估框架，例如各領域皆適用之『NIST Cybersecurity Framework』，適用於生產製造/自動控制領域之『IEC 62443-3-3安全控制技術要求』及『經濟部工業局資安整合服務平台 - 企業資安評級框架』，適用於金融業之『FFIEC Cybersecurity Assessment Tool』，或適用於公務機關之『資安治理成熟度評估框架』。

• 問項制訂

基於受評估對象之選用評估框架，制訂合適之問項與成熟度對應分布，並剔除受評對象不適用之控制領域與特定要求，提高評估準確度以及進行評估之效率。

• 實施評估

利用問卷填寫或現地訪查之工作方式，對受評對象進行評估，並適度留存評估佐證，以利評估報告產製，並協助受評對象同時進行相關利害相關人要求之回應。

• 報告產製與提出改善建議

基於問卷填寫及現地訪結果產製評估報告，提出短、中、長期工作方向與改善建議，必要時協助受評單位向組織高階經理人/決策組織進行書面或口頭報告。