企業資安挑戰:個資外洩及網路攻擊擴散,資安意識不足需加強
近年來政府及企業個資外洩與資通安全事件頻傳,調查顯示有89%的公司曾發生資安負面事件,而有53%的公司認為資安不是工作重點,或僅是被動配合監管法規強化資安,顯見對資安風險管理的意識不足。
依據資通安全事件案例統計,非法入侵、設備問題、網頁攻擊列為前三名風險事件,佔比分別是50%、10%、8%。企業為確保營運之效果及效率,營運活動高度使用資訊科技及資通系統協助,但多數公司未能掌控自身資安風險環境因應之道,以致未能有效配置資安投入資源,將效益最佳化。企業面臨個資外洩和網路安全威脅,個資保護法修正加強了企業的法律責任,最高罰1,500萬元,個資保護法修正強化企業責任。
總統宣示「資安即國安」,金融監督管理委員會(以下簡稱「金管會」)要求上市(櫃)公司應強化資通安全管理,臺灣證券交易所提出《上市上櫃公司資通安全管控指引》,協助上市(櫃)公司強化資通安全防護及管理機制,其中第37條明確指出上市(櫃)公司可衡諸產業特性、規模大小及資安風險適度採行。
加強資通安全檢查之控制:金管會指引公開發行公司內部控制有效性
「資通安全檢查之控制」是《公開發行公司建立內部控制制度處理準則》第9條中,明文規定使用電腦化資訊系統處理者的重要內部控制作業,內部稽核單位依法應列為年度稽核計畫之稽核項目,每年對「資通安全檢查之控制」的有效性進行查核。可知金管會對公開發行公司是否落實執行「資通安全檢查之控制」的重視程度。
資訊科技環境對企業影響與日俱增,因此完善「資通安全檢查之控制」的內部控制有效性更顯重要。111年金管會證期局在《公開發行公司建立內部控制制度處理準則問答集》中對於「資通安全檢查之控制」應如何訂定相關控制作業,強調公開發行公司可參考上市上櫃公司資通安全管控指引》,以及數位發展部資通安全署網站中提供的資通安全參考資料,強化資通安全防護管理機制。由金管會證期局最新回答內容,提供企業對建立「資通安全檢查之控制」的防護管理機制,有更深入且具體明確的指引。
企業標準化方式漸進導入資通安全防護機制
經本文整理上述規範重點內容後,認為企業可以根據自身風險環境,以標準化漸進方式導入資通安全防護機制,最佳化資安資源配置,有效降低個資外洩與資安風險事件的負面影響,完善資通安全內部控制。可參考【企業導入資通安全防護機制建議】(詳圖示),根據資安控制的重要程度進行分級,並針對不同企業規模提出導入建議。
