資安法規及規範
加強資安管理才能順利合規,提升企業競爭力!
遵循資安法規及規範可降低被攻擊的風險,也是企業營運的重要基礎。
在科技蓬勃發展及數位轉型的推波助瀾下,資安已成當前企業營運環節中最重要的一環,透過適當的管理程序與防護措施,阻擋來自駭客的威脅攻擊,可大大降低財務損失、營運中斷、商譽損失等風險。
企業為了守衛自身利益與維持市場競爭力,應提升資安防護能力,盡力避免資安事件的發生,更不可疏忽政府法規及上下游的供應商標準,否則可能將面臨法律責任,或是不慎違反合約規範,導致機密外流、違約交付或客戶跑單等莫大損失。
直接告訴您!為什麼需要遵循資安法規及規範?
資安議題在近年來相當夯,再加上個資外洩等相關事件層出不窮,政府及民間各行各業也訂立了法規或供應鏈的標準,提供企業與組織落實資安的方向,透過加強資安防護力防範駭客攻擊,達到風險管理的效益才可確實保障企業與社會大眾的權益。
看~過~來~企業必須先了解的四個資安規範
上市上櫃公司資通安全管控指引
● 發生個資外洩等資安事件的上市櫃企業,將受到主管機關調查。
● 就影響範圍及資安的完善程度,裁定罰鍰金額或限期改善。
● 未即時發布資安重訊者,最高將處以500萬元罰鍰。
● 某上市銀行於因個資外洩且調查無果,被裁罰1,000萬元。
● 某二手商品拍賣平台的資安疑慮,經調查後確認防護機制妥善,不足之處則限期改正。
為了協助各大企業改善資安現況,金管會於2021年發布資安管控指引,提供落實資安的參考方向。
建議就「人員面」、「防護面」、「檢測面」及「管理面」等層面,經由專業團隊的技術支援服務,協助企業依循資安管控指引走上合規之路。
ISO 27001 國際資安標準
● 內容包含建構、營運、維護以及持續精進的資安要求。
● 目前最完整、最廣泛運用的資訊安全管理系統(ISMS)標準,也是許多資安法規的參考基礎。
● 最新版本為2022年版,內容專注於網路安全及隱私保護。
● 舊版認證將於2025年10月31日後失效,需限期完成轉版。
● 許多高科技與製造大廠都已取得 ISO 27001 認證,例如台積電、鴻海、緯創資通等。
嚴格審查促使企業優化內部流程,以利管理和降低資訊層面所面臨的各種威脅及風險,並可透過認證,證明企業的資安水準及管控品質,強化合作夥伴的信心。
建議從檢視資安現況,及建立內部風險控制機制為起手,降低風險的同時,更能凝聚內部的資安共識。
個人資料保護法
● 主要為保護個人資料的蒐集、處理、利用。
● 企業若發生個資洩漏事件,最高可罰1,500萬元。
● 經主管機關調查發現違規事項即可開罰,並可連續開罰。
● 某共享汽機車平台未妥善管理內含個資的資料庫,遭罰20萬元,並對潛在消費者提出賠償方案。
● 某知名連鎖書店網路通路發生個資外洩事件,違反第27條之規定,裁罰10萬元。
個資法讓資安不再只是企業的事,而是關乎整個社會福祉,主管機關更在2023年加強責罰力度,督促企業強化個資安全。
建議以「進不來」企業內部、「看不懂」機敏資訊、「帶不走」資料為原則,妥善設置控管機制,保障個資安全,以免損及企業及消費者之權益。
供應鏈資安稽核
● 確保供應鏈中的所有企業都能有效管理與降低資安風險。
● 基本上以 ISO 27001 的標準及定期弱點掃描為主。
● 未符合供應鏈資安需求,可能削減客戶信任度或失去訂單。
● 某汽車大廠的供應商遭駭客入侵,導致14間工廠及28條生產線全面停工,影響1.3萬台生產量。
● 各大企業已制定相關供應鏈資安規範,如華碩、技嘉、日月光、台積電(SEMI E187)等。
供應鏈攻擊事件牽連者眾,為避免「短板效應」造成合作關係中的破口,進而導致斷鏈危機,應確實遵循並落實供應鏈的資安規範與標準。
建議盤點供應鏈資安稽核中的眉角,並核對自身合規程度,持續精進將有利於企業維持客戶信任度,永續經營。
面對繁複的資安法規與規範,企業會遇到什麼問題?
資安法規與規範對一般企業而言過於繁複,往往需要專業人員才能具體理解內容,並且後續完善企業資安必定要投入大量的人力、物力、財力,但光是聘任資安人才便是一大難題,又要以資安為中心挑戰固有的企業文化,再再阻礙企業落實資安、遵循規範。
缺乏綜觀而論的資安策略,難以結合企業目標,無法融入既存的企業文化。
如何應對
● 成立資安委員會,由高階主管擔任主要成員,負責制定與審核資安策略。
● 藉由經驗豐富資安專家,協助企業制定並且落實資安策略。
缺乏資安專業人才,不易完善管理程序,極需提升員工資安意識。
如何應對
●採用全面性的資安服務,彌補人力不足所帶來的防護缺口。
● 定期辦理資安宣導課程與教育訓練,有效加強員工的資安認知。
預算、資源不足,難以補足資安技術,故無法跟上資安威脅的快速演變。
如何應對
● 導入完整且妥適的資安服務,避免分別採購資安產品的高額費用。
● 資安技術需與時俱進,透過專業的資安團隊讓企業降本提效,專注於核心業務。