資安法專區

資通安全管理法上市櫃公司如何因應?

《企業指引專區》讓您一目瞭然!

近年資訊安全成為全球趨勢,提升了資安管理的重要性。有鑑於駭客攻擊手法日新月異、資安事件不斷發生,以及政府推動資安即國安政策,陸續針對公家機關、關鍵基礎設施業、金融業、上市上櫃公司,從政策面推動相關資安政策與要求,驅動台灣各產業強化資通安全防護,有效落實資安管理。

金管會建議上市櫃公司可從資訊揭露公司治理監理協助三大面向強化資安管理,並遵循台灣證交所發佈的「上市櫃公司資通安全管控指引」,協助上市櫃公司配置相應資安人力,進行資安治理規劃、監控及執行管理作業,完善資安防禦機制,及早發現威脅、降低風險,避免市場受到重大影響。

面對資通安全管控指引,您準備好了嗎?

企業推動資安,會遇到什麼困境?

根據「公開發行公司建立內部控制制度處理準則」及相關令釋,上市(櫃)公司應配置資訊安全人力,以循序漸進方式推動辦理。實收資本額達新臺幣 100 億元以上、前一年底屬臺灣五十指數成分公司及主要經營電子商務媒介商品或服務之上市(櫃)公司應於 111 年底前指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管及至少 2 名資訊安全專責人員),其餘上市櫃公司除最近 3 年稅前純益連續虧損或最近 1 年度每股淨值低於面額者外,應於 112 年底前配置資訊安全主管及資訊安全人員。企業在推動資安管理時,主要面臨到哪些困難點呢?

  • *
    資安人才缺口
  • *
    難掌握資安趨勢與資訊動態
  • *
    資安法規趨嚴
    法遵難度提高
  • *
    員工資安意識難貫徹與深植
  • *
    管理階層支持度不足
  • *
    預算及成本考量

直接告訴你!遵循「資安法」可以避免哪些罰則

  • 上市櫃公司如發生個資外洩等事件,須受主管機關調查
  • 上市櫃公司發生重大資安事件像是:核心系統或官網遭駭、DDoS、個資外洩等,未即時發佈重大訊息,金管會最高可罰新台幣 500 萬罰鍰
  • 企業發生個資外洩,最高可裁罰 1500 萬
  • 裁罰金額與限期改善,會依據事件影響範圍及資安機制完善程度

金管會:三大面向強化企業資安控管

為強化上市櫃公司資通安全管理機制,金管會建議從以下三大面向採取措施,驅動企業推動資安管理

*

資訊揭露

  • 發生重大資安事件,應即時發布重大訊息。
  • 年報及公開說明書需揭露重大資安風險,且敘明資通安全管理政策、方案及投入資源。
*

公司治理

  • 資安納入內部控制:檔案設備安全控制、設立資安長及專責單位、資通安全檢查納入年度稽核項目、稽核人員持續進修…等。
  • 資安納入公司治理評鑑。
*

監理協助

  • 推動加入台灣電腦網路危機處理暨協調中心,共享資安情資。
  • 企業導入 ISO27001 資訊安全系統標準並取得第三方認證,納入公司治理評鑑指標加分項目。

資通安全管控指引有哪些?

管理面

  • 定期盤點資通系統及風險評估
  • 建立資訊安全管理機制
  • 資安推動組織及專責人員
  • 資通安全政策及目標
  • 資通作業委外辦理管理措施
  • 資安事件通報應變處理
  • 資安持續精進及績效管理
  • 業務持續運作演練及備援機制
  • 機敏資料處理之防護措施
  • 密碼使用管理及評估多重認證
  • 人員裝置及設備使用管理
  • 電腦機房及重要區域安全管控
  • 定期向董事會報告資安執行狀況,並對內及委外廠商資安稽核

技術面

  • 資安檢測作業
  • 定期針對核心系統弱點掃描
  • 定期針對核心系統滲透測試
  • 系統上線前執行源碼掃描
  • 具備資安防護控管措施
  • 防毒軟體、網路防火牆、電子郵件過濾機制、入侵防禦機制、應用程式防火牆、APT 防禦措施、SOC
  • 機敏資料防護措施
  • 存取權限、資料加密、傳輸加密、資料遮罩…等
  • 依網路服務需要區隔獨立的邏輯網域

人員面

  • 定期辦理電子郵件社交工程演練
  • 加入資安情資分享組織取得資安資訊
  • 資訊系統使用者每年接受資安訓練
  • 資訊人員每年接受資安專業課程訓練

資安法解決方案 全面防護

駭客攻擊不會停止,如沒做好足夠的防禦,將造成重大損失。建議企業可與資安廠商合作,透過專業的資安服務資源,快速強化企業資安體質,並降低資安團隊的人力負擔。資通電腦提供多樣化的資安解決方案,協助上市櫃公司遵循資通安全管控指引,有效落實資安防護及管理機制。

*

ARES PP 文件加密系統

  • 資通安全管控指引解決項目:

    機敏資料加密、存取權限控管、鑑別與定期檢視機敏資料、妥善儲存與管理資通系統開發維護文件。

  • 如何防護:

    資料存檔即加密,可依人員、群組設定存取權限,搭配詳實軌跡紀錄,有效控管文件流向。

了解更多
*

Comodo 資安防護方案

  • 資通安全管控指引解決項目:

    定期盤點資通系統、防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、應用程式防火牆、APT 防禦措施、SOC 威脅監測管理、安全漏洞通告可即時修補、個人裝置使用管理。

  • 如何防護:

    以預設攔截、黑白名單、沙箱技術封鎖未知勒索程式。並透過 24 小時監控端點安全、漏洞防禦提醒與修補管理、系統軟體盤查…等,有效阻擋惡意勒索攻擊。

了解更多
*

Fortify 應用程式安全檢測

  • 資通安全管控指引解決項目:

    源碼檢測、滲透測試

  • 如何防護:

    提供 SCA 工具協助掃描程式原始碼,找出漏洞進行修補。並透過 WebInspect 工具協助檢測運行中的網站,抓出安全弱點並修復,避免駭客攻擊。

了解更多
*

KnowBe4 資安課程平台

  • 資通安全管控指引解決項目:

    定期辦理社交工程演練、員工資安教育訓練。

  • 如何防護:

    透過線上課程培訓員工資安意識,提供多樣化的資安內容,讓員工頻繁接觸網路詐騙與社交攻擊演練,產生高度警覺培養資安意識。

了解更多
*

uIAM 單一簽入認證

  • 資通安全管控指引解決項目:

    人員管理與處理規範、資料存取控管及身分認證納入資通系統開發維護規格、密碼使用管理。

  • 如何防護:

    uIAM 除整合單位內身份認證納入統一的控管、並可支援 AD、Fido 2、健保卡、憑證等登入機制,確保身份認證與各系統權限的對應,透過整合 Fido 2 機制,更可使用手機進行認證,伺服器端不需記憶密碼,沒有密碼外洩問題,且大幅提升方便性。

了解更多
*

uPKI 憑證驗證服務系統

  • 資通安全管控指引解決項目:

    存取權限、資料加密、傳輸加密、資料遮蔽。

  • 如何防護:

    透過 PKI 機制,進行資料加解密、存證驗證,確保資料儲存與傳輸安全。並可設定遮罩欄位與規格,針對個資部分解密遮罩,提高資訊安全性。

了解更多