近年資訊安全成為全球趨勢,提升了資安管理的重要性。有鑑於駭客攻擊手法日新月異、資安事件不斷發生,以及政府推動資安即國安政策,陸續針對公家機關、關鍵基礎設施業、金融業、上市上櫃公司,從政策面推動相關資安政策與要求,驅動台灣各產業強化資通安全防護,有效落實資安管理。
金管會建議上市櫃公司可從資訊揭露、公司治理、監理協助三大面向強化資安管理,並遵循台灣證交所發佈的「上市櫃公司資通安全管控指引」,協助上市櫃公司配置相應資安人力,進行資安治理規劃、監控及執行管理作業,完善資安防禦機制,及早發現威脅、降低風險,避免市場受到重大影響。
根據「公開發行公司建立內部控制制度處理準則」及相關令釋,上市(櫃)公司應配置資訊安全人力,以循序漸進方式推動辦理。實收資本額達新臺幣 100 億元以上、前一年底屬臺灣五十指數成分公司及主要經營電子商務媒介商品或服務之上市(櫃)公司應於 111 年底前指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管及至少 2 名資訊安全專責人員),其餘上市櫃公司除最近 3 年稅前純益連續虧損或最近 1 年度每股淨值低於面額者外,應於 112 年底前配置資訊安全主管及資訊安全人員。企業在推動資安管理時,主要面臨到哪些困難點呢?
為強化上市櫃公司資通安全管理機制,金管會建議從以下三大面向採取措施,驅動企業推動資安管理
駭客攻擊不會停止,如沒做好足夠的防禦,將造成重大損失。建議企業可與資安廠商合作,透過專業的資安服務資源,快速強化企業資安體質,並降低資安團隊的人力負擔。資通電腦提供多樣化的資安解決方案,協助上市櫃公司遵循資通安全管控指引,有效落實資安防護及管理機制。
機敏資料加密、存取權限控管、鑑別與定期檢視機敏資料、妥善儲存與管理資通系統開發維護文件。
資料存檔即加密,可依人員、群組設定存取權限,搭配詳實軌跡紀錄,有效控管文件流向。
定期盤點資通系統、防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、應用程式防火牆、APT 防禦措施、SOC 威脅監測管理、安全漏洞通告可即時修補、個人裝置使用管理。
以預設攔截、黑白名單、沙箱技術封鎖未知勒索程式。並透過 24 小時監控端點安全、漏洞防禦提醒與修補管理、系統軟體盤查…等,有效阻擋惡意勒索攻擊。
源碼檢測、滲透測試
提供 SCA 工具協助掃描程式原始碼,找出漏洞進行修補。並透過 WebInspect 工具協助檢測運行中的網站,抓出安全弱點並修復,避免駭客攻擊。
定期辦理社交工程演練、員工資安教育訓練。
透過線上課程培訓員工資安意識,提供多樣化的資安內容,讓員工頻繁接觸網路詐騙與社交攻擊演練,產生高度警覺培養資安意識。
人員管理與處理規範、資料存取控管及身分認證納入資通系統開發維護規格、密碼使用管理。
uIAM 除整合單位內身份認證納入統一的控管、並可支援 AD、Fido 2、健保卡、憑證等登入機制,確保身份認證與各系統權限的對應,透過整合 Fido 2 機制,更可使用手機進行認證,伺服器端不需記憶密碼,沒有密碼外洩問題,且大幅提升方便性。
存取權限、資料加密、傳輸加密、資料遮蔽。
透過 PKI 機制,進行資料加解密、存證驗證,確保資料儲存與傳輸安全。並可設定遮罩欄位與規格,針對個資部分解密遮罩,提高資訊安全性。