企業資安挑戰:個資外洩及網路攻擊擴散,資安意識不足需加強
近年來政府及企業個資外洩與資通安全事件頻傳,調查顯示有89%的公司曾發生資安負面事件,而有53%的公司認為資安不是工作重點,或僅是被動配合監管法規強化資安,顯見對資安風險管理的意識不足。
依據資通安全事件案例統計,非法入侵、設備問題、網頁攻擊列為前三名風險事件,佔比分別是50%、10%、8%。企業為確保營運之效果及效率,營運活動高度使用資訊科技及資通系統協助,但多數公司未能掌控自身資安風險環境因應之道,以致未能有效配置資安投入資源,將效益最佳化。企業面臨個資外洩和網路安全威脅,個資保護法修正加強了企業的法律責任,最高罰1,500萬元,個資保護法修正強化企業責任。
總統宣示「資安即國安」,金融監督管理委員會(以下簡稱「金管會」)要求上市(櫃)公司應強化資通安全管理,臺灣證券交易所提出《上市上櫃公司資通安全管控指引》,協助上市(櫃)公司強化資通安全防護及管理機制,其中第37條明確指出上市(櫃)公司可衡諸產業特性、規模大小及資安風險適度採行。
加強資通安全檢查之控制:金管會指引公開發行公司內部控制有效性
「資通安全檢查之控制」是《公開發行公司建立內部控制制度處理準則》第9條中,明文規定使用電腦化資訊系統處理者的重要內部控制作業,內部稽核單位依法應列為年度稽核計畫之稽核項目,每年對「資通安全檢查之控制」的有效性進行查核。可知金管會對公開發行公司是否落實執行「資通安全檢查之控制」的重視程度。
資訊科技環境對企業影響與日俱增,因此完善「資通安全檢查之控制」的內部控制有效性更顯重要。111年金管會證期局在《公開發行公司建立內部控制制度處理準則問答集》中對於「資通安全檢查之控制」應如何訂定相關控制作業,強調公開發行公司可參考上市上櫃公司資通安全管控指引》,以及數位發展部資通安全署網站中提供的資通安全參考資料,強化資通安全防護管理機制。由金管會證期局最新回答內容,提供企業對建立「資通安全檢查之控制」的防護管理機制,有更深入且具體明確的指引。
企業標準化方式漸進導入資通安全防護機制
經本文整理上述規範重點內容後,認為企業可以根據自身風險環境,以標準化漸進方式導入資通安全防護機制,最佳化資安資源配置,有效降低個資外洩與資安風險事件的負面影響,完善資通安全內部控制。可參考【企業導入資通安全防護機制建議】(詳圖示),根據資安控制的重要程度進行分級,並針對不同企業規模提出導入建議。
【企業導入資通安全防護機制建議】是確保資通安全控制在不同規模的企業中都能得到適當的重視和實施,並將其納入整體的資通安全框架中,且依據資通安全措施八項核心範疇之重要性依序導入,核心範疇包括(一)資通安全政策及推動組織、(二)資通安全防護及控制措施、(三)資通系統或資通服務委外辦理之管理措施、(四)資通系統發展及維護安全、(五)核心業務及其重要性、(六)資通安全事件通報應變及情資評估因應、(七)資通安全之持續精進及績效管理機制、(八)資通系統盤點及風險評估,每個核心範疇的概念化內容對照應建置的控制措施,共有29項資通安全措施。
本文整理提出29個資通安全概念化之措施,包括(1)強化資通安全防護及管理機制;(2)組織專責主管與人員定期執行教育訓練;(3)定期檢視;(4)網路服務管理;(5)機敏性資料管理;(6)人員及裝置使用管理;(7)使用者通行碼及帳號管理;(8)系統及設備監控與安全漏洞管理;(9)實體區域管理;(10)訂定資訊作業委外安全管理程序;(11)訂定委外廠商之資通安全責任及保密規定;(12)委外關係終止或解除時確認返還、移交、刪除或銷毀履行契約;(13)資通系統開發及維護需求規格是否檢查過濾等;(14)資通系統相關文件妥善儲存及管理;(15)定期執行資通系統安全性要求測試;(16)核心資通系統上線前執行源碼掃描安全檢測,(17)定期辦理弱點掃描與滲透測試,並完成系統弱點修補;(18)鑑別並檢視核心業務及保護機敏資料,並依法令及契約辦理;(19)對營運中斷風險進行評估、復原目標設定;(20)設置備份與備援計畫;(21)訂定資安事件應變處置及通報作業程序;(22)加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊;(23)發生符合規範之重大資安事件依相關規定辦理;(24)資通安全推動組織定期向董事會或管理階層報告資通安全執行情形;(25)定期辦理內部及委外廠商之資安稽核;(26)針對資安稽核發現事項擬訂改善措施;(27)針對資安稽核發現事項定期追蹤改善情形;(28)定期盤點資通系統,並建立核心系統資產清冊;(29)定期評估核心業務及資通系統之資安風險並執行對應的控制措施。透過這些管控措施分類與重要性排序,企業可依據自身資源多寡,選擇差異化方式投入,提高資安防護的效率及效果,更有效地應對資通安全威脅,確保其資訊資產和業務持續受到保護。
結論:強化企業資通安全內部控制 建立管理生態系統
本文探討了資通安全風險管理的重要性,並分析了資通安全檢查的內涵及監理角度下的重點事項。本文認為「資通安全政策及推動組織」、「資通安全防護及控制措施」、「資通系統或資通服務委外辦理之管理措施」是資通安全措施中最重要的核心範疇,也是企業應優先導入的重要事項。企業可以配合自身所處資通安全風險環境,參照本文提出的【企業導入資通安全防護機制建議】,以標準化方式導入,強化資通安全防護管理機制,且特別加強核心資通系統、官方網站或機密文件檔案資料,遭駭客攻擊或入侵、服務阻斷攻擊(DDoS),致無法營運或正常提供服務或個資外洩,所造成公司重大損害或影響的風險,並建立適合自身的資通安全管理生態系統,制定資通安全風險管理計劃,漸進式導入資通安全防護機制,以完善資通安全管理的內部控制制度。
*作者為國立中正大學企業管理學系博士生
