【企業導入資通安全防護機制建議】是確保資通安全控制在不同規模的企業中都能得到適當的重視和實施,並將其納入整體的資通安全框架中,且依據資通安全措施八項核心範疇之重要性依序導入,核心範疇包括(一)資通安全政策及推動組織、(二)資通安全防護及控制措施、(三)資通系統或資通服務委外辦理之管理措施、(四)資通系統發展及維護安全、(五)核心業務及其重要性、(六)資通安全事件通報應變及情資評估因應、(七)資通安全之持續精進及績效管理機制、(八)資通系統盤點及風險評估,每個核心範疇的概念化內容對照應建置的控制措施,共有29項資通安全措施。
本文整理提出29個資通安全概念化之措施,包括(1)強化資通安全防護及管理機制;(2)組織專責主管與人員定期執行教育訓練;(3)定期檢視;(4)網路服務管理;(5)機敏性資料管理;(6)人員及裝置使用管理;(7)使用者通行碼及帳號管理;(8)系統及設備監控與安全漏洞管理;(9)實體區域管理;(10)訂定資訊作業委外安全管理程序;(11)訂定委外廠商之資通安全責任及保密規定;(12)委外關係終止或解除時確認返還、移交、刪除或銷毀履行契約;(13)資通系統開發及維護需求規格是否檢查過濾等;(14)資通系統相關文件妥善儲存及管理;(15)定期執行資通系統安全性要求測試;(16)核心資通系統上線前執行源碼掃描安全檢測,(17)定期辦理弱點掃描與滲透測試,並完成系統弱點修補;(18)鑑別並檢視核心業務及保護機敏資料,並依法令及契約辦理;(19)對營運中斷風險進行評估、復原目標設定;(20)設置備份與備援計畫;(21)訂定資安事件應變處置及通報作業程序;(22)加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊;(23)發生符合規範之重大資安事件依相關規定辦理;(24)資通安全推動組織定期向董事會或管理階層報告資通安全執行情形;(25)定期辦理內部及委外廠商之資安稽核;(26)針對資安稽核發現事項擬訂改善措施;(27)針對資安稽核發現事項定期追蹤改善情形;(28)定期盤點資通系統,並建立核心系統資產清冊;(29)定期評估核心業務及資通系統之資安風險並執行對應的控制措施。透過這些管控措施分類與重要性排序,企業可依據自身資源多寡,選擇差異化方式投入,提高資安防護的效率及效果,更有效地應對資通安全威脅,確保其資訊資產和業務持續受到保護。
結論:強化企業資通安全內部控制 建立管理生態系統
本文探討了資通安全風險管理的重要性,並分析了資通安全檢查的內涵及監理角度下的重點事項。本文認為「資通安全政策及推動組織」、「資通安全防護及控制措施」、「資通系統或資通服務委外辦理之管理措施」是資通安全措施中最重要的核心範疇,也是企業應優先導入的重要事項。企業可以配合自身所處資通安全風險環境,參照本文提出的【企業導入資通安全防護機制建議】,以標準化方式導入,強化資通安全防護管理機制,且特別加強核心資通系統、官方網站或機密文件檔案資料,遭駭客攻擊或入侵、服務阻斷攻擊(DDoS),致無法營運或正常提供服務或個資外洩,所造成公司重大損害或影響的風險,並建立適合自身的資通安全管理生態系統,制定資通安全風險管理計劃,漸進式導入資通安全防護機制,以完善資通安全管理的內部控制制度。
*作者為國立中正大學企業管理學系博士生
