觀念平臺-強化資安 政府及企業迫在眉睫

爲積極推動資通安全政策及加速建構環境以保障我國資安,《資通安全管理法》已於2019年上路,相關子法亦於2021年8月修正。尤其在金融科技風潮下,資安威脅日益嚴峻,金管會於2020年8月發佈「金融資安行動方案」36項措施,四年內逐步推動。資產兆元以上金融機構,須強制設置副總級以上的高階資安長,透過深化資安治理、精實資安作業韌性及發揮資安聯防,以達到安全、便利、營運不中斷的目標。

2021年底亦修正公開發行公司內部控制處理準則,明訂公開發行公司應配置適當人力資源及設備,進行資訊安全制度的規劃、監控及執行資訊安全管理作業。另外,爲協助上市櫃公司強化資安防護及管理,證交所及櫃買中心於2021年底發佈「上市櫃公司資通安全管理指引」,作爲資通安全相關規劃及執行計劃時之參考。徒法不足以自行,政府及企業都要有危機意識,確實檢討及精進。

根據德勤(Deloitte)今年初在美國做的一份調查,受訪的審計委員會成員中,有62%認爲2022年預計將花更多時間去面對的首要風險便是網路安全議題。根據美國2022年7月發佈的一份調查報告,財星500大企業在2021年任命新董事會成員中,17%遴選了具網路安全經驗者,相較於2020年只有8%,有倍數以上成長。該調查指出,因美國勞動力不足,有1/3的網路安全職缺尚未補足,可能讓組織內部防衛薄弱;在資安人才嚴重短缺之際,這已經成爲全球共通的問題。由於近年來全球積極推動數位轉型,加上疫情影響,遠端及混合式工作激增,更爲網路犯罪創造新的機會。組織應評估數位化程度所需的網路安全管理成熟度,建立防禦架構與基礎措施,及網路安全策略與治理架構,強化資安管理機制。

資安非常重要,但是一般組織常將其視爲只是科技或資訊問題,以爲聘任資安長、購買資安工具或投保資安險後,就能高枕無憂。而多數的董事會及審計委員會都很少去碰觸這個多數成員都不太熟悉的議題。首先,金融機構及大企業,未來在遴選新董事時,可參考美國財星500大企業適時引進資安專家;也可參考公司治理模範生臺積電將「企業資訊安全」列入審計委員會之審議事項。

「人」是資安管控中最弱的一環,駭客經常運用社交工程手法,誘騙受害者做出違規的行爲。強化重視資安的文化,要從董事會及管理階層以身作則開始,透過增進資安意識認知訓練,並在各種場合持續提醒大家重視資安,並建立自我防護觀念,才能提升組織整體資安意識,降低資安風險。

董事會應確保經營團隊建構全公司之資安風險管理架構,並配置足夠的人才及預算;宜定期邀請負責的主管,報告資安風險管理架構、資安政策及具體管理方案、資安防護的現況及未來的加強計劃,例如增聘專責人員、尋求外部專業顧問的協助、建立資安的應變計劃、資安管理系統導入(ISO/IEC 27001)等。更要透過持續監督,以確保資安策略落實推動及資源的確實投入。