資安法規及規範

加強資安管理才能順利合規，提升企業競爭力！

遵循資安法規及規範可降低被攻擊的風險，也是企業營運的重要基礎。

在科技蓬勃發展及數位轉型的推波助瀾下，資安已成當前企業營運環節中最重要的一環，透過適當的管理程序與防護措施，阻擋來自駭客的威脅攻擊，可大大降低財務損失、營運中斷、商譽損失等風險。
企業為了守衛自身利益與維持市場競爭力，應提升資安防護能力，盡力避免資安事件的發生，更不可疏忽政府法規及上下游的供應商標準，否則可能將面臨法律責任，或是不慎違反合約規範，導致機密外流、違約交付或客戶跑單等莫大損失。

直接告訴您！為什麼需要遵循資安法規及規範？

資安議題在近年來相當夯，再加上個資外洩等相關事件層出不窮，政府及民間各行各業也訂立了法規或供應鏈的標準，提供企業與組織落實資安的方向，透過加強資安防護力防範駭客攻擊，達到風險管理的效益才可確實保障企業與社會大眾的權益。

合規保障之一

企業自身

否則將面臨

合規保障之二

供應鏈安全

否則將面臨

合規保障之三

消費者權益

否則將面臨

合規保障之四

個資及機敏資料

否則將面臨

看～過～來～企業必須先了解的四個資安規範

上市上櫃公司資通安全管控指引

● 發生個資外洩等資安事件的上市櫃企業，將受到主管機關調查。
● 就影響範圍及資安的完善程度，裁定罰鍰金額或限期改善。
● 未即時發布資安重訊者，最高將處以500萬元罰鍰。
● 某上市銀行於因個資外洩且調查無果，被裁罰1,000萬元。
● 某二手商品拍賣平台的資安疑慮，經調查後確認防護機制妥善，不足之處則限期改正。

為了協助各大企業改善資安現況，金管會於2021年發布資安管控指引，提供落實資安的參考方向。
建議就「人員面」、「防護面」、「檢測面」及「管理面」等層面，經由專業團隊的技術支援服務，協助企業依循資安管控指引走上合規之路。

想更了解上市櫃企業資安如何合規

ISO 27001 國際資安標準

● 內容包含建構、營運、維護以及持續精進的資安要求。
● 目前最完整、最廣泛運用的資訊安全管理系統（ISMS）標準，也是許多資安法規的參考基礎。
● 最新版本為2022年版，內容專注於網路安全及隱私保護。
● 舊版認證將於2025年10月31日後失效，需限期完成轉版。
● 許多高科技與製造大廠都已取得 ISO 27001 認證，例如台積電、鴻海、緯創資通等。

嚴格審查促使企業優化內部流程，以利管理和降低資訊層面所面臨的各種威脅及風險，並可透過認證，證明企業的資安水準及管控品質，強化合作夥伴的信心。
建議從檢視資安現況，及建立內部風險控制機制為起手，降低風險的同時，更能凝聚內部的資安共識。

想更了解ISO 27001認證如何取得

個人資料保護法

● 主要為保護個人資料的蒐集、處理、利用。
● 企業若發生個資洩漏事件，最高可罰1,500萬元。
● 經主管機關調查發現違規事項即可開罰，並可連續開罰。
● 某共享汽機車平台未妥善管理內含個資的資料庫，遭罰20萬元，並對潛在消費者提出賠償方案。
● 某知名連鎖書店網路通路發生個資外洩事件，違反第27條之規定，裁罰10萬元。

個資法讓資安不再只是企業的事，而是關乎整個社會福祉，主管機關更在2023年加強責罰力度，督促企業強化個資安全。
建議以「進不來」企業內部、「看不懂」機敏資訊、「帶不走」資料為原則，妥善設置控管機制，保障個資安全，以免損及企業及消費者之權益。

想更了解個資法與資安維護計畫

供應鏈資安稽核

● 確保供應鏈中的所有企業都能有效管理與降低資安風險。
● 基本上以 ISO 27001 的標準及定期弱點掃描為主。
● 未符合供應鏈資安需求，可能削減客戶信任度或失去訂單。
● 某汽車大廠的供應商遭駭客入侵，導致14間工廠及28條生產線全面停工，影響1.3萬台生產量。
● 各大企業已制定相關供應鏈資安規範，如華碩、技嘉、日月光、台積電（SEMI E187）等。

供應鏈攻擊事件牽連者眾，為避免「短板效應」造成合作關係中的破口，進而導致斷鏈危機，應確實遵循並落實供應鏈的資安規範與標準。
建議盤點供應鏈資安稽核中的眉角，並核對自身合規程度，持續精進將有利於企業維持客戶信任度，永續經營。

想更了解供應鏈資安規範如何符合