企業該如何符合資安法規、做好風險評估?金管會於2021年發布「上市上櫃公司資通安全管控指引」,提供落實企業資安的參考方向。
為了讓企業更了解法規內涵,鼎新開辦「資通安全管控指引」研習課程,不僅請來資深資安顧問講解法規的眉眉角角,更可以體驗全新開發的「資安風險評估平台」,讓風險評估不再複雜。
怎麼做才能合規?先了解資安法規才能評估資安現況
「法規面的許多要求更加清楚了,而且課程中還提供文件範本,只要稍微修改就可以實際使用。」德麥食品資安主管邱先生說道。
深耕專業影像服務的誠研科技,無可避免地遭受過勒索軟體的侵害,資訊室的駱先生為了檢視公司合規程度才報名研習課程,而先前已參加過「上市櫃資安法規研討大會」的樂斯科生技林先生也提到,公司在協助生技業、研究單位培育實驗鼠時,保有許多客製化數據資料,兩人皆在課程中進一步釐清法規觀念,也希望回到公司後能按步就班地擴展資安佈局。
研習課程以資安政策與目標、組織的範例解說為起點,讓身為資安兼職人員的兆○電子施小姐對擬定合規細項有了具體想法,並且透過政策面、管理面修訂相關規章、文件,補強資安施行力度,也使建○資安主管許先生、環○企業資安人員王先生不約而同表示找到執行方向了!
凡○科技的資安主管吳先生在課程中體會到資安之於公司的重要性,倫○電腦沈工程師也透過資深講師的講解,了解今年度上市櫃公司應完成的資安設置與資安通報等相關資訊--不過,釐清法規後的第一步該怎麼做呢?
解密上市櫃資通安全管控指引體驗營
為什麼企業需要風險評估工具?讓盤點與評估簡單化
「我也自己研究過這些流程,不過公司設備很多,弄下來並不輕鬆。」誠研科技資訊室的駱先生說道。「也許資產盤點跟風險評估本來就是件複雜的事。」
風險評估是完善企業資安的第一步,像誠研科技駱先生就毫不避諱提起資安現況,公司在資安項目上往往預算不足且資源有限,若能從風險評估著手,辨識核心業務及系統,與邊緣項目區分之後,將有利於企業運用有限的預算、資源,一步步完善企業資安。(延伸閱讀:【資安風險評估】降低資安風險3步驟,您做對了嗎?)
說到風險評估,樂斯科生技林先生也有些心得,如果只是執行例行事務盤點或可直接使用鼎新ERP的資產盤點功能,但若沒有系統工具協助量化資安風險評估,可能得自行建置Excel試算表,土法煉鋼量化公式,故他很期待研習課程中的「資安風險評估平台」體驗。而誠研科技駱先生經由實際體驗,試著將公司資產填入系統,獲得量性分數與質性描述,便讓資安現況的風險明確現形。
由於企業內部的系統與設備常有跨部門應用,並非完全獨立設置,在「資安風險評估平台」中需以交叉綁定功能方可呈現真正的風險要點,但對於德○營造的資安主管許先生來說,如此實用的工具已給予了資安風險評估的執行方向,也讓博○生技的資訊專員傅先生能夠完善未來IPO的資訊建置,更樂意委託專業團隊統籌相關資安規劃。(延伸閱讀:資安風險評估顧問服務:助力企業掌握資安風險、智能平台管理資產)
「資通安全管控指引」更加強調集中管理,尤其期望資安長與專責人員等領頭人,帶領企業時時刻刻走在資安正軌之上,然而改革對固有的企業文化而言並不容易,需提升公司對資安的重視程度,方能順利導入新的管理模式。
「資通安全管控指引」興許是鼎新陪同企業夥伴共同成長的契機,後續也將持續優化「資安風險評估平台」,真正地協助企業因應資安法規,使各大企業皆可盡力強化資通安全,守護資安,更是保衛國安。
