top of page
michaelkao

隨著資通安全管理法上路,企業必須依循辦理的事項是哪些呢?



資通安全管理法是什麼?


近年資訊科技日益發達,許多服務與商業行為都改由線上進行,這一塊伴隨巨大利益的網路市場,也讓投機者開始投入研究,利用各種網路系統的漏洞來謀取不當利益。為了有效防護資訊安全並讓公司企業重視資安防護,台灣於2019年3月1日正式啟用資通安全管理法。此法規定了各項資訊安全措施的要求與執行標準,並設置了資訊安全管理機構,負責協調推動相關措施的落實。此外,該法亦針對重要資訊基礎設施進行了更嚴格的管理要求,要求相關業者須具備必要的資訊安全措施,以確保基礎設施運作的安全穩定。


根據法規,所有上市櫃公司被分為三個等級

分級

標準

相關規範

第一級

​1.資本額百億元以上

2.前一年底台灣50指數成分股公司

3.電子式媒介的商品或服務

​於2022年底完成設置資安長與資安專責單位

第二級

​1.第一級以外的上市(櫃)公司

2.最近未連續三年虧損且每股淨值未低於面額

​於2023年底完成設置資安專責主管與至少一名資安專責人員

第三級

​1.第一級以外的上市(櫃)公司

2.最近連續三年虧損且每股淨值低於面額

​鼓勵設置至少一名資安專責人員

資料來源:臺灣證券交易所、櫃買中心,飛象資訊整理


並根據其分級,規範了對應的資安執行頻率

​項目

內容

第一級

第二級

第三級

​資通系統分級及防護基準

完成資通系統分級與防護基準;每年至少檢視一次妥適性

一年內

一年內

二年內

​資訊安全管理系統之導入及通過公正第三方之驗證

全部核心資通系統導入資訊安全管理系統,於三年內完成第三方驗證,持續維持其驗證有效性

二年內

二年內

二年內

持續運作演練業務

全部核心資通系統

一年一次

​二年一次

​二年一次

​辦理內部資通安全稽核

一年二次

一年一次

​二年一次

​資通安全專責人員(一年內)

4人

2人

1人

​資安治理成熟度評估(公務機關)

一年一次

一年一次

資料來源:財團法人電信技術中心,飛象資訊整理



企業應該做什麼?


雖然知道資通安全法正式上路,也明白需要遵守規範,但企業具體要做些什麼?


步驟一:盤點資訊系統資產

首先企業必須了解自身擁有的資產,做法其實跟總務在盤點公司資產差不多(如辦公桌X50、置物架X10等),以資訊類的系統資產來說,大致就是虛擬主機與伺服器。


步驟二:資產資安風險評估、檢測

接著企業會需要這些系統資產是否有以下狀況,若存在,通常可以利用弱點掃描檢測出這些問題:

1.作業系統老舊

2.啟用不當服務

3.資訊系統存在漏洞


※詳細需要檢測的項目看這裡



步驟三:風險弱點修復

當找出問題之後,理應進行對應的系統升級與漏洞修復。根據資通安全法,不同的企業/機關有不同的安全責任等級要求

標準

對象

A

無高、中、低度及參考資訊類的風險

以程式開發的網站,連結資料庫,資料含個資與機敏資料

B

無高、中、低度風險

以程式開發的網站,連結資料庫,資料含個資

C

無高、中度風險

純靜態網頁或是以程式開發的網站,連結資料庫,資料不含個資或機敏資料


企業資安檢測細則有哪些?OKWASP能協助企業什麼?


資料來源:財團法人電信技術中心,飛象資訊整理


從列表可以看出需要檢測的細則項目很多,每一級的要求都不同,甚至每一種檢測項目對應的所需工具也不盡相同,關於什麼樣的問題適合使用的工具可以參考此文章說明。


其中,若是有網站安全弱點檢測的需求,通過ISO27001的飛象資訊開發的OKWASP弱點掃描工具所提供的動態弱點掃描服務,便能有效快速找出需要修復的漏洞,並提供完整的診斷報告,此外OKWASP還提供了第三方認證報告的服務,進一步保障使用者的資訊安全。而這一系列的掃描服務除了滿足法規提到的資訊安全管理系統之導入及通過公正第三方之驗證」,更是獲得了國家級的推薦,更多OKWASP與資通安全相關可以參考資通安全管理法採購指引懶人包



Comments


bottom of page