許多企業對於「資安」仍停留在初階防護的概念,並且未能完善、落實,因此,為強化上市櫃公司的認知,金管會直接將資通安全議題拉到檯面上,在2021年底發布了「 上市上櫃公司資通安全管控指引 」。
而發布至今已一年多餘,被金管會劃分為第二級企業的上市櫃公司,倘若尚未完成合規配置,必須在不到半年的期限內趕超進度,才能在2023年底前完成。
時間很趕、指引中的法條又晦澀難懂,在這樣緊迫的狀態之下,該如何對照企業自身的資安現況進行合規改善?別擔心,我們整理了「資通安全管控指引」的相關重點,讓您輕鬆攻略!
各部門動起來!需仰賴資安組織進行溝通協調
資通安全從來就不是一個簡單的議題,它關乎企業內部的環環相扣,一旦某個節點輕忽大意,皆可能成為孳生資安事件的漏洞。做為上市櫃公司資安行動方向的框架,「資通安全管控指引」中便涵蓋許多重要的資安工作項目:
- 制定資安政策與目標
- 盤點資安現況及評估風險
- 建置完善資安系統與機制
- 緊急應變事件通報
除了明定的資安工作項目外,還需要時時刻刻與各部門溝通及協調,往往耗費極大的心力與成本,所以「資通安全管控指引」也規範第二級上市櫃公司需派任資安主管與資安專責人員各一名,主責資通安全相關項目,同時擔當起跨部門協作的重責,以利推進資安政策,而從公司治理面來看,更是建議設置完善的資安專責單位,才能面面俱到地應付資安議題。
放下「齊頭式」規劃 為核心業務與系統量身制定
大多數的企業少以一套系統行天下,像內部分屬不同系統的財務、人資、CRM、ERP等等,以及對外的官方網站、訂單系統,各系統之間或有介接將資料流串連起來。那麼,針對眾多業務與設備、系統,能否制定一套大家都適用的資安作業流程呢?
在預算、資源有限的情況下,此時若「齊頭式」的一視同仁,也許需要放棄較為嚴謹的資安規劃。當整體防禦被削弱,就像是拿著破爛盾牌、戴著鍋蓋當頭盔,腳下甚至穿著草鞋的士兵一樣,可否打贏來勢洶洶的駭客及惡意程式?
規劃資安不該抱持賭博心態,更應特別注意資安政策與規劃雖沒有受到著作財產權的保障,但也不要一昧地複製貼上,「資通安全管控指引」中也提到起手辨識核心業務及核心系統,切合企業本身的文化與資源,才能將強健的資安防線建立起來。
與時俱進為必然趨勢 落實資安進而擴展至整個集團
與駭客之間的戰爭是一場長期的攻防戰,千萬不要以為制定一套完善的資安政策便高枕無憂!在你我看不到的地方,駭客的技術與其提供的服務也在進步,比如說勒索軟體即服務(Ransomware-as-a-Service)的黑色產業鏈,造就有心人士更加有力的武器。
因此,企業更需要持續精進,以最新、最強的防線對抗敵人來犯。並且落實資安不只是某個部門或是總公司的單一行動,防禦的觸角須延伸至關係企業、子公司、委外廠商等,以利確實防禦外來的惡意攻擊。
再者,為了不被淹沒在洶湧的資安浪潮中,掌握情資可以讓企業時刻跟上時代的腳步,所以導入情資系統、加入TWCERT或所屬產業資安資訊分享與分析中心(ISAC),也是「資通安全管控指引」呼籲的重點之一。
使檔案被加密的勒索軟體、點開郵件即中招的BEC攻擊,還有入侵伺服器導致個資外洩的惡意程式,都是近年來層出不窮的資安事件,不論是企業或是屬於個人的你我,都不得再忽視潛在的危機。
「資安即國安」不該只是熱門口號,政府機關舉著「資通安全管控指引」大旗而來,也不是想刁難各大上市上櫃公司,而是期待落實資安政策之餘,還可進一步資訊揭露、共享合作,方與同業及社會大眾達到雙贏局面。
如果您無法掌握「資通安全管控指引」的核心內容,心裡還上演著以下小劇場……
- 尖叫:天哪!我該怎麼做?
- 困惑:我這樣做合規嗎?
- 驚恐:做不到會不會被罰?
- 什麼想法都沒有,腦袋裡只有問號……
快來填問卷下載最新、最全面的實戰懶人包,讓鼎新電腦戳破您的每一顆問號泡泡。
