花掉的資安預算居然可以抵稅?資訊、資安部門往往被誤會為只會大手大腳花錢,卻比不上業務部門的實績,在預算編列時期聲量較小,有時更不受老闆待見,大筆一揮便將基礎建設與維護系統等經費砍了又砍。
為了鼓勵各大企業投資資安建置,加強抵禦駭客、惡意程式的能力,政府祭出《產業創新條例》,符合規定者可在報稅時享有一定比例的抵減,期望藉由資安抵稅效益遍地開花,進而提升國家整體的資安防護力。
把資安放一邊 談談預算執行率與績效的關係
在通貨膨脹等大環境的影響下,時常發生因物價上漲而追加預算的窘況,同樣是計劃趕不上變化所致,預算執行率不佳卻有與之截然不同的事態。萬萬不可單純以「花錢」的角度看待預算,即使是普通人的日常生活,花錢買飯滿足口腹之慾,花錢看電影享受娛樂,花出去的錢讓身、心、靈皆有受益,同理,公司編列的預算不是在「敗家」,而是為了增加營收、維持運營,回收更多利益的必要支出。
那麼,遇上會計年度將要結束之際,難道非得找法子把錢花掉,才算是績效成長?若因專案進度延宕或其他意外,未依照原計劃執行預算,除了浪費前一年好不容易爭取到的經費額度,也許預算執行率不佳的狀況會令經營階層重新審視評估,進而刪減隔年預算,後續推動專案將窒礙難行。
用資安必需品確保您的預算KPI不落人後
雖然社會大眾重視資安的程度越來越高,但部分企業仍認為導入防火牆或防毒軟體即是足夠的資安建置,此般傳統思維不僅無法有效抵禦外敵,更難以符合供應鏈乃至政府的資安政策要求。
完善資安建置並持續精進,已是企業在這個世代的生存之道,所以當資訊或資安部門好不容易爭取到公司預算,會計年度結束以前仍有剩餘經費或預算執行率落後時,可規劃相關資安項目,消耗預算的同時也可加強資安防護力。
弱點掃描
檢測是否存在已知的安全漏洞和弱點,並針對掃描結果進行修補,防止資安弱點被有心人士利用,降低遭受入侵的風險。實務上建議一年至少執行一次,於掃描完成一個月內修補高風險漏洞。
風險評估
區分資產價值等級及鑑別可能遭遇之風險,以資安三要素機密性、完整性及可用性,評估風險衝擊值。應定期執行,並檢視資安策略不足之處,持續精進。(延伸閱讀:【資安風險評估】降低資安風險3步驟,您做對了嗎?)
資料備份
為避免災害或人為因素,造成資料損壞、遺失,透過資料複製及分散放置,隔絕可能遭受病毒感染或影響的途徑,是保護企業資料的最後一道防線。企業可在風險評估後設定復原點目標(RPO,Recovery Point Objective),以訂立或調整備份機制的形式、頻率。
系統備援
營運不中斷是各大企業追求的一大目標,一旦發生故障或受到駭客攻擊,系統備援機制理應盡快接手運作,減少營運衝擊。企業衡量可接受多長時間的服務中斷或系統停機,訂下復原時間目標(RTO,Recovery Time Objective)以設置妥適的備援計畫。
災害演練
導入備份、備援機制後,應制定災害應變程序,明定人員職責,以及主備援機制、應變SOP、資源調度運用等,並定期辦理演練,確保企業緊急應變能力。
社交工程演練
模擬釣魚郵件、冒充身份等真實的社交工程攻擊情境,測試企業員工的警覺心。與弱點掃描相同,建議一年執行一次,方可揪出人與人之間的資安弱點,加強整體資安認知。
高CP值?!資安不再是敗家子
資安預算≠大撒幣!是投資也是抵稅神隊友
在資安領域中,無論技術或服務皆是一分錢一分貨,高昂的投資成本也是公司經營者們躊躇再三的其一原因。《產業創新條例》依據第10-1條第7項規定修訂了投資抵減辦法,智慧機械、5G設備及資安產品或服務的投入都可以抵減營所稅,冀釋出利多帶動相關投資。其中,資安產品或服務的適用範圍已明確定義:
- 認定標準以識別、保護、偵測、回應、復原五大構面為主。
- 防護範圍如終端與行動裝置、網路安全、雲端安全等硬體、軟體、技術服務。
- 排除個人電腦的防毒軟體或防火牆等措施。
考量到稅捐稽徵作業實務,以及投資效益需待設備、技術交貨後始得生效,投資抵減辦法中也述明相關抵減條件:
- 依公司法設立之公司或有限合夥事業可申請抵減。
- 排除最近三年內違反環保、勞工或食安之情節重大者。
- 以自用用途為前提,向他人購買、租賃、自行製造或委由他人製造。
- 投資金額達新台幣100萬元以上,未超過10億元。
- 兩種抵減方式,選擇後不可修改:
當年度抵減(支出金額5%)、三年內分次抵減(支出金額3%) - 當年度認定為交貨、開始提供資安服務或技術服務提供完成之年度。
- 資安投資抵減金額上限為當年度營所稅30%。
- 智慧機械、5G設備及資安產品或服務總計投資抵減金額上限為當年度營所稅50%。
多數企業的預算編列時程落於每年第三季或第四季,將會動員全公司集團包含分公司、子公司等經營階層、主管級人物,編製隔年度預算目標與細則,同時也是各部門間資源分配的角力戰。
而當預算執行率與工作績效息息相關的情況之下,資訊或資安部門應該如何消耗剩餘經費,以交出更漂亮的年度成績單,將是年前的最後一役。
您也可以聰明規劃資安預算
※ 本篇內文兩張圖片可用於不營利之商用、私用,來源標註「鼎新電腦」即可。
※ 素材圖源:freepik。