企業資安挑戰:個資外洩及網路攻擊擴散,資安意識不足需加強
近年來政府及企業個資外洩與資通安全事件頻傳,調查顯示有89%的公司曾發生資安負面事件,而有53%的公司認為資安不是工作重點,或僅是被動配合監管法規強化資安,顯見對資安風險管理的意識不足。
依據資通安全事件案例統計,非法入侵、設備問題、網頁攻擊列為前三名風險事件,佔比分別是50%、10%、8%。企業為確保營運之效果及效率,營運活動高度使用資訊科技及資通系統協助,但多數公司未能掌控自身資安風險環境因應之道,以致未能有效配置資安投入資源,將效益最佳化。企業面臨個資外洩和網路安全威脅,個資保護法修正加強了企業的法律責任,最高罰1,500萬元,個資保護法修正強化企業責任。
總統宣示「資安即國安」,金融監督管理委員會(以下簡稱「金管會」)要求上市(櫃)公司應強化資通安全管理,臺灣證券交易所提出《上市上櫃公司資通安全管控指引》,協助上市(櫃)公司強化資通安全防護及管理機制,其中第37條明確指出上市(櫃)公司可衡諸產業特性、規模大小及資安風險適度採行。
加強資通安全檢查之控制:金管會指引公開發行公司內部控制有效性
「資通安全檢查之控制」是《公開發行公司建立內部控制制度處理準則》第9條中,明文規定使用電腦化資訊系統處理者的重要內部控制作業,內部稽核單位依法應列為年度稽核計畫之稽核項目,每年對「資通安全檢查之控制」的有效性進行查核。可知金管會對公開發行公司是否落實執行「資通安全檢查之控制」的重視程度。
資訊科技環境對企業影響與日俱增,因此完善「資通安全檢查之控制」的內部控制有效性更顯重要。111年金管會證期局在《公開發行公司建立內部控制制度處理準則問答集》中對於「資通安全檢查之控制」應如何訂定相關控制作業,強調公開發行公司可參考上市上櫃公司資通安全管控指引》,以及數位發展部資通安全署網站中提供的資通安全參考資料,強化資通安全防護管理機制。由金管會證期局最新回答內容,提供企業對建立「資通安全檢查之控制」的防護管理機制,有更深入且具體明確的指引。
企業標準化方式漸進導入資通安全防護機制
經本文整理上述規範重點內容後,認為企業可以根據自身風險環境,以標準化漸進方式導入資通安全防護機制,最佳化資安資源配置,有效降低個資外洩與資安風險事件的負面影響,完善資通安全內部控制。可參考【企業導入資通安全防護機制建議】(詳圖示),根據資安控制的重要程度進行分級,並針對不同企業規模提出導入建議。 (相關報導: 風評:愛與謊言不能發電,馬屁也不能 | 更多文章 )
【企業導入資通安全防護機制建議】是確保資通安全控制在不同規模的企業中都能得到適當的重視和實施,並將其納入整體的資通安全框架中,且依據資通安全措施八項核心範疇之重要性依序導入,核心範疇包括(一)資通安全政策及推動組織、(二)資通安全防護及控制措施、(三)資通系統或資通服務委外辦理之管理措施、(四)資通系統發展及維護安全、(五)核心業務及其重要性、(六)資通安全事件通報應變及情資評估因應、(七)資通安全之持續精進及績效管理機制、(八)資通系統盤點及風險評估,每個核心範疇的概念化內容對照應建置的控制措施,共有29項資通安全措施。
