自2020年起,國內上市櫃公司爆發多起重大資安事件,包括GPS大廠與石化能源公司遭勒索軟體攻擊、電子業大廠系統遭病毒感染,以及工控大廠遭駭客攻擊。為避免網路攻擊造成市場重大影響,及配合金融監督管理委員會強化上市公司資通安全管理政策,臺灣證券交易所於110年12月23日發布「上市上櫃公司資通安全管控指引」,要求上市櫃公司應配置適當人力資源及設備,進行資通安全制度之規劃、監控及執行資通安全管理作業。
由證交所發布的「上市上櫃公司資通安全管控指引」,能協助上市、上櫃公司強化資通安全防護及管理機制。本指引條文從管理面、技術面及認知訓練面等重點概要探討,企業可依其產業特性、規模大小及資安風險適度採行。
- 上市櫃公司資通安全管控指引-政策面與管理面。
- 110年12月28日修正的「公開發行公司建立內部控制制度處理準則」第9-1條,金管會將上市櫃公司依其收入規模分成三級,以循序漸進方式推動辦理,其實施範圍與時程如下:
*上市櫃公司資通安全管控指引-技術面
針對公司整體網路環境,資安團隊需依功能區隔獨立網段,並搭配防毒軟體、防火牆及入侵偵測系統等資安防護控制措施,以保護機敏資料及監控網路與系統安全性。若公司自行開發與維護核心資通系統,在初期的需求規格制定與規劃階段,必須納入機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾等資安要求,並且在系統上線前執行原始碼掃描與定期辦理資通系統安全性要求測試、弱點掃描及滲透測試,確保能有效控管組織中的資安風險,建構完備的資通環境,強化資通安全防護及管理機制。
*上市櫃公司資通安全管控指引-認知訓練面
公司可透過實體或線上課程方式,每年為所有使用資訊系統之人員辦理資訊安全宣導課程;針對負責資訊安全之主管及人員,公司每年需安排資訊安全專業課程訓練。此外,公司亦需每年辦理電子郵件社交工程演練,透過演練結果可用於檢視資訊安全意識訓練課程成效,避免組織內部員工因缺乏相關資安意識,使得駭客可透過釣魚郵件或是社交工程方式取得使用者電腦控制權限,進而造成組織營運或機敏資料外洩
然而,現行上市櫃公司推動資安管控,仍有諸多阻力與困難點。許多上市櫃公司雖有執行相關資訊安全治理,但考量到預算、成本及人力配置等問題,仍會先以有限度的框定組織認證資訊安全管理之範圍進行資安治理,而不是適用於全組織。依照過往經驗,一旦與企業談到資訊安全管理,主要都是著重在技術面的資安基礎建設,例如建置網路防火牆、防毒軟體及入侵偵測系統等,希望藉由資訊安全軟硬體設備來強化資通安全。不過僅做好網路安全防護,並無法有效地解決各種資訊安全問題的發生,也必須考量到人員與作業流程,必須從組織的政策面、管理面及執行面全面執行。因此,確保組織資訊安全的最佳方式是從管理層面來著手,取得高階管理階層支持,並依循國際資安標準ISO 27001建立一套完整的資訊安全管理系統(Information Security Management Systems,ISMS)。
該指引所要求的資通安全管理機制亦涵蓋於ISO 27001資訊安全管理系統,公司可尋求外部專業資安服務資源,透過吸取資安專業人士的知識與實務經驗加速導入時程、降低資安團隊的人力負擔,並有效控管組織中的資安風險。
2022年資訊安全已經走向法律遵循的時代,透過專業的資訊安全諮詢、訓練及檢測服務,能進一步幫助企業提升資安能量,也能夠滿足主管機關的資安法令要求。
免責聲明:
轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。
文章來源:
httpswww.informationsecurity.com.twarticlearticle_detail.aspxaid=9775