專家傳真-上市上櫃公司治理與技術強化帶動新世代資安趨勢
上市上櫃公司應依循相關法令法規及指引的要求,研擬對應之資安治理策略及控管機制。從規劃資安組織與指派專責人員、盤點資源、分析核心業務與核心資通系統、建立委外資安管理,到落實營運持續與供應商風險管理等資安控管機制,企業需要完善地規劃、實施、檢核、改善,才能在有效進行資安防護與管控同時,迅速回應內外訴求與事件,增強企業資安韌性。
新世代資安發展趨勢
金管會於110年修正「公開發行公司建立內部控制制度處理準則」,公開發行公司符合一定條件者,金管會得命令指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長,及設置資訊安全專責單位、主管及人員,以落實資訊安全管理作業。此舉不只代表主管機關重視資安的決心,也說明了上市上櫃公司的管理責任也隨之加重。
建議企業在管理面上除設立資訊安全專責單位及釐清相關權責外,應就賴以維生的核心業務評估相關資安風險並加以保護,如分析核心業務與其關連之核心資通系統,定期盤點並鑑別資產價值,與評估受衝擊的因應措施並定期演練,另須包含對委外廠商的安全管理作爲等。
而於基礎建設面來看,建議企業建構資安防護控制措施,如對企業網路行邏輯與實體上之安全區隔、防毒軟體、網路防火牆、電子郵件過濾機制、入侵偵測及防禦機制、進階持續性威脅攻擊防禦措施及資通安全威脅偵測管理機制(SOC)等,另如有對外服務之核心資通系統者,則須具備應用程式防火牆。
就技術層面而言,針對資通系統發展的相關安全要求應加以強化,如機敏資料存取控制、用戶登入身分驗證及用戶輸入輸出之檢查過濾等納入發展規格內,並定期執行安全性要求測試與資安檢測作業,完成弱點修補,另須每年定期辦理電子郵件社交工程演練,並保留相關紀錄。此外,也建議企業加入資安情資分享組織,取得資安預警情資、資安威脅與弱點資訊。
資安治理強化服務與資源
隨着現今全球化、企業流程高度資訊化趨勢,資訊科技的風險管理立即面臨客戶及監理機關之檢驗。企業爲提供完整、即時之資訊並同時滿足客戶及主管機關之要求,極力保護公司所有賴以生存維運的資產,以保障企業營業資訊之機密性,維護公司營運命脈,保障市場競爭優勢,避免核心競爭力之流失。
勤業衆信風險諮詢團隊定期針對全球趨勢議題設計調查與數據分析、召開國際會議,同時彙整Deloitte全球領袖意見,針對企業資安治理、管理、控管強化與技術檢測等資安韌性強化需求共同研究,並就管理、基礎建設與技術層面,在資訊安全各個面向建構出完整的導入建議與技術指導服務框架。面對現今產業所面臨的威脅或多元需求,都能協助企業以最適合的方法論,依照企業本身特性與營運狀況,強化其整體資訊安全韌性與架構而無後顧之憂。