在ESG永續時代來臨的浪潮下,資通安全已成為企業治理不可忽視的議題;特別是對於上市上櫃公司而言,完善的資通安全管控不僅關乎法規遵循,更直接影響投資人信心與營運穩定性。
上市上櫃公司必須從政策管理面、技術面及認知訓練社交工程三大構面強化資通安全,進而保護機敏性資料、確保核心業務運行順暢,遇到資安事件能迅速反應,建立可監測、可控制、可應變的資安防護機制。( 完整指引: 上市上櫃公司資通安全管控指引 )
在任何計畫中,制定政策與目標如同工程的地基,決定了後續所有的議題走向及最終的成效,那接著需要什麼可以訂定我們的藍圖,就需要做到:
資安小組成員不是只是掛個名,要負責所有的政策的推動、協調、監督有關資安的所有事項且明確劃分跨部門職責,需經由副總經理以上主管核定制定的政策與目標、定期檢視,讓每一項資安工作都可量化、可追蹤,管理階層能及時看到成效並調整政策。
全面盤點公司所有資訊資產,依「機密性」、「可用性」、「營運影響度」為每項資產分級,並建立核心系統(如客戶資料庫、公司機密文件、金流平台等)整理成「資訊資產清冊」,能隨時掌握哪些系統對公司最重要、價值最高,並在資源分配上最佳化。
假設真的發生資安事件要如何應變及通報,是否有明確定復原時間目標(RTO)及資料復原時間點目標(RPO)與設置備份機制及計劃,盡可能將損失降到最低。
資安專責小組人力編制依據「 公開發行公司建立內部控制制度處理準則 」第九條之一第二項規定辦理。以循序漸進方式推動辦理,其實施範圍及時程如下:
| 分級標準 | 資安單位人力編制 | 實施時程 |
| 第一級: 符合下列條件之一者: 1. 資本額100億元以上 2. 前一年底屬臺灣50指數成分公司 3. 藉電子方式媒介商品所有權移轉或提供服務(如電子銷售平台、人力銀行等) 4. 收入占最近年度營業收入達80%以上,或占最近二年度營業收入達50%以上者 |
應設資安長及設置資安專責單位(包含資安專責主管及至少2名資安專責人員) | 111年底 設置完成 |
|---|---|---|
| 第二級: 第一級以外之上市(櫃)公司,最近三年度之稅前純益未有連續虧損,且最近年度財務報告每股淨值未低於面額者。 | 資安專責主管及至少1名資安專責人員 | 112年底 設置完成 |
| 第三級: 第一級以外上市(櫃)公司,最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額。 | 資安專責主管及至少1名資安專責人員 | 鼓勵設置 |
當我們已經制定好策略與目標,就是把藍圖轉化為具體的資安防護與控制方法,確保每一項資安政策都能落實:
採多重身分驗證(MFA)、設定分層級存取權限,只讓經過授權的使用者或群組存取特定資料,詳細記錄每一次存取紀行為、重要資料異動、偵測攻擊與未授權之連線、功能錯誤及管理者行為等,並針對日誌建立適當之保護機制。
針對系統、應用程式或網路中存在的安全漏洞,採取相應措施進行修補,可藉由 VANS弱點通報系統 自動比對軟體資產之弱點,以利執行軟體資產盤點作業(CPE),落實掌握關鍵資訊系統之潛在弱點(CVE)情況,並進行弱點修補派送。
為了築起全面防護,依業務需求劃分獨立邏輯網域(如 DMZ、內網/外網),並隔離開發、測試與正式作業環境;也須部署多層次防護措施:防毒軟體、網路防火牆與、電子郵件過濾機制、入侵偵測/防禦系統(IDS/IPS)、進階持續性威脅(APT)防禦,即時警示攻擊行為;資通安全威脅偵測管理機制(SOC)等才能有效阻絕各式攻擊,並在威脅逼近時迅速偵測、及時回應,將風險降到最低。
企業最重要的一環就是「人」,透過定期的教育訓練與模擬演練,提升企業員工的資安意識。
佈達企業資安規範,例如:軟體安裝、電子郵件、即時通訊軟體、個人行動裝置及可攜式媒體等管控使用規則,宣導資安重大消息、相關課程等。
對企業員工發送釣魚郵件,像是內部系統異常通知、假冒客戶詢問報價等郵件,針對未通過測試的企業員工加強資安教育訓練。
可取得資安預警情資、資安威脅與弱點資訊,如:所屬產業資安資訊分享與分析中心(ISAC)、臺灣電腦網路危機處理暨協調中心(TWCERT/CC)。
從「政策管理面」、「技術防護面」,到「認知訓練&社交工程」三大層面全面部署,設立資安專責小組並訂定量化指標,能讓管理階層隨時掌握成效;資產盤點與弱點修補流程,則確保系統風險降低;而多層次的防禦措施與身分存取管控,搭配定期的演練與情資分享,則形成「人、流程、技術」協同運作的安全體系。唯有以這樣的閉環思維,不斷回顧與精進,才能在瞬息萬變的威脅環境中維持韌性,守護企業核心價值與永續發展。
中華龍網提供資安健診、資產盤點、弱點修補等產品及服務,為企業打造可靠的資通安全防護體系,才能在瞬息萬變的威脅環境中,守護企業核心價值與永續發展。