您也擔心如何符合資安法規、做好風險評估嗎?金管會於2021年發布「上市上櫃公司資通安全管控指引」,提供落實企業資安的參考方向,然而法條用語令人迷茫萬分,難以落地改善資安現況。
鼎新在與客戶交流的過程中發現了企業們的難處,便藉由過往資安規劃與IT運維的豐富經歷,開辦「資通安全管控指引」研習課程,自七月以來已超過200家客戶共同與會,不僅請來資深資安顧問講解法規的眉眉角角,更可以體驗全新開發的「資安風險評估平台」,讓風險評估起手式不再複雜。
實用度99.9%!釐清資安法規的輪廓以評估合規程度
「法規面的許多要求更加清楚了,而且課程中還提供文件範本,只要稍微修改就可以實際使用。」德麥食品資安主管邱先生說道。
深耕專業影像服務的誠研科技,無可避免地遭受過勒索軟體的侵害,在B2C的業務上更因為掌握了會員個資,必須強固資安防護以免資料外洩,資訊室的駱先生為了檢視公司與合規的距離才報名研習課程,而先前已參加過「上市櫃資安法規研討大會」的樂斯科生技林先生也提到,公司在協助生技業、研究單位培育實驗鼠時,保有許多客製化數據資料,故兼顧IT事務的同時也需重視資通安全,兩人皆在課程中進一步釐清法規觀念,也希望回到公司後能按步就班地擴展資安佈局。
研習課程以資安政策與目標、組織的範例解說為起點,讓身為資安兼職人員的兆○電子施小姐對擬定合規細項有了具體想法,並且透過政策面、管理面修訂相關規章、文件,補強資安施行力度,也使建○資安主管許先生、環○企業資安人員王先生不約而同表示找到執行方向了!
凡○科技的資安主管吳先生在課程中體會到資安之於公司的重要性,倫○電腦沈工程師也透過資深講師的講解,了解今年度上市櫃公司應完成的資安設置與資安通報等相關資訊--不過,釐清法規後的第一步該怎麼做呢?
滿意度100%!善用風險評估工具平衡企業資安能量
「我也自己研究過這些流程,不過公司設備很多,弄下來並不輕鬆。」誠研科技資訊室的駱先生說道。「也許資產盤點跟風險評估本來就是件複雜的事。」
以往,若是推動資安的過程中遇到跨越不了的關卡,興許可以直接劃分部門責任,但「資通安全管控指引」更加強調集中管理,尤其期望資安長與專責人員等領頭人,帶領企業時時刻刻走在資安正軌之上,然而誠研科技駱先生毫不避諱提起資安現況,往往預算不足且資源有限。因此建議企業應從風險評估著手,辨識核心業務及系統,與邊緣項目區分之後,方可運用有限的預算、資源一步步完善企業資安。
說到風險評估,樂斯科生技林先生也有些心得,執行例行事務盤點或可直接使用鼎新ERP的資產盤點功能,但若沒有系統工具協助量化資安風險評估,可能得自行建置Excel試算表,土法煉鋼量化公式,故他很期待研習課程中的「資安風險評估平台」體驗。而誠研科技駱先生經由實際體驗,試著將公司資產填入系統,獲得量性分數與質性描述,便讓資安現況的風險明確現形。
由於企業內部的系統與設備常有跨部門應用,並非完全獨立設置,在「資安風險評估平台」中需以交叉綁定功能方可呈現真正的風險要點,但對於德○營造的資安主管許先生來說,如此實用的工具已給予了資安風險評估的執行方向,也讓博○生技的資訊專員傅先生能夠完善未來IPO的資訊建置,更樂意委託專業團隊統籌相關資安規劃。
「資通安全管控指引」興許是鼎新陪同企業夥伴共同成長的契機,在後續的反饋中也得知客戶的心之所向,期望「資安風險評估平台」演進迭代之後簡化操作流程、改善流暢度,並貼近實際需求,真正地協助企業因應資安法規。
改革對固有的企業文化而言並不容易,需提升公司對資安的重視程度,方能順利導入新的管理模式。期望在指引的先導之下,各大企業皆可盡力強化資通安全,守護資安,更是保衛國安。
