You are currently viewing 加速達標!上市上櫃公司資通安全管控指引實戰懶人包

加速達標!上市上櫃公司資通安全管控指引實戰懶人包

許多企業對於「資安」仍停留在初階防護的概念,並且未能完善、落實,因此,為強化上市櫃公司的認知,金管會直接將資通安全議題拉到檯面上,在2021年底發布了「 上市上櫃公司資通安全管控指引 」。

但指引中的法條晦澀難懂,該如何對照企業自身的資安現況進行合規改善?別擔心,我們整理了「資通安全管控指引」的相關重點,讓您輕鬆攻略!

各部門動起來!需仰賴資安組織進行溝通協調

資通安全從來就不是一個簡單的議題,它關乎企業內部的環環相扣,一旦某個節點輕忽大意,皆可能成為孳生資安事件的漏洞。做為上市櫃公司資安行動方向的框架,「資通安全管控指引」中便涵蓋許多重要的資安工作項目:

  • 制定資安政策與目標
  • 盤點資安現況及評估風險
  • 建置完善資安系統與機制
  • 緊急應變事件通報

除了明定的資安工作項目外,還需要時時刻刻與各部門溝通及協調,往往耗費極大的心力與成本,所以「資通安全管控指引」也規範第二級上市櫃公司需派任資安主管與資安專責人員各一名,主責資通安全相關項目,同時擔當起跨部門協作的重責,以利推進資安政策,而從公司治理面來看,更是建議設置完善的資安專責單位,才能面面俱到地應付資安議題。

上市上櫃公司資通安全管控指引 懶人包
資安組織與各部門間須溝通協作|詳情歡迎下載上市櫃公司資安指引完整懶人包

放下「齊頭式」規劃 為核心業務與系統量身制定

大多數的企業少以一套系統行天下,像內部分屬不同系統的財務、人資、CRM、ERP等等,以及對外的官方網站、訂單系統,各系統之間或有介接將資料流串連起來。那麼,針對眾多業務與設備、系統,能否制定一套大家都適用的資安作業流程呢?

在預算、資源有限的情況下,此時若「齊頭式」的一視同仁,也許需要放棄較為嚴謹的資安規劃。當整體防禦被削弱,就像是拿著破爛盾牌、戴著鍋蓋當頭盔,腳下甚至穿著草鞋的士兵一樣,可否打贏來勢洶洶的駭客及惡意程式?(延伸閱讀:現今資安所面臨的挑戰:駭客的攻擊手法千變萬化,如何遠離資安威脅?

規劃資安不該抱持賭博心態,更應特別注意資安政策與規劃雖沒有受到著作財產權的保障,但也不要一昧地複製貼上,「資通安全管控指引」中也提到起手辨識核心業務及核心系統,切合企業本身的文化與資源,才能將強健的資安防線建立起來。

上市上櫃公司資通安全管控指引 懶人包
用營運衝擊鑑別核心業務與系統|詳情歡迎下載上市櫃公司資安指引完整懶人包

與時俱進為必然趨勢 落實資安進而擴展至整個集團

與駭客之間的戰爭是一場長期的攻防戰,千萬不要以為制定一套完善的資安政策便高枕無憂!在你我看不到的地方,駭客的技術與其提供的服務也在進步,比如說勒索軟體即服務(Ransomware-as-a-Service)的黑色產業鏈,造就有心人士更加有力的武器。

因此,企業更需要持續精進,以最新、最強的防線對抗敵人來犯。並且落實資安不只是某個部門或是總公司的單一行動,防禦的觸角須延伸至關係企業、子公司、委外廠商等,以利確實防禦外來的惡意攻擊。

再者,為了不被淹沒在洶湧的資安浪潮中,掌握情資可以讓企業時刻跟上時代的腳步,所以導入情資系統、加入TWCERT或所屬產業資安資訊分享與分析中心(ISAC),也是「資通安全管控指引」呼籲的重點之一。

使檔案被加密的勒索軟體點開郵件即中招的BEC攻擊,還有入侵伺服器導致個資外洩的惡意程式,都是近年來層出不窮的資安事件,不論是企業或是屬於個人的你我,都不得再忽視潛在的危機。

「資安即國安」不該只是熱門口號,政府機關舉著「資通安全管控指引」大旗而來,也不是想刁難各大上市上櫃公司,而是期待落實資安政策之餘,還可進一步資訊揭露、共享合作,方與同業及社會大眾達到雙贏局面。

如果您無法掌握「資通安全管控指引」的核心內容,心裡還上演著以下小劇場……

  • 尖叫:天哪!我該怎麼做?
  • 困惑:我這樣做合規嗎?
  • 驚恐:做不到會不會被罰?
  • 什麼想法都沒有,腦袋裡只有問號……

快來填問卷下載最新、最全面的實戰懶人包,讓鼎新電腦戳破您的每一顆問號泡泡。