資通安全管理法是什麼?
近年資訊科技日益發達,許多服務與商業行為都改由線上進行,這一塊伴隨巨大利益的網路市場,也讓投機者開始投入研究,利用各種網路系統的漏洞來謀取不當利益。為了有效防護資訊安全並讓公司企業重視資安防護,台灣於2019年3月1日正式啟用資通安全管理法。此法規定了各項資訊安全措施的要求與執行標準,並設置了資訊安全管理機構,負責協調推動相關措施的落實。此外,該法亦針對重要資訊基礎設施進行了更嚴格的管理要求,要求相關業者須具備必要的資訊安全措施,以確保基礎設施運作的安全穩定。
根據法規,所有上市櫃公司被分為三個等級
分級 | 標準 | 相關規範 |
第一級 | 1.資本額百億元以上 2.前一年底台灣50指數成分股公司 3.電子式媒介的商品或服務 | 於2022年底完成設置資安長與資安專責單位 |
第二級 | 1.第一級以外的上市(櫃)公司 2.最近未連續三年虧損且每股淨值未低於面額 | 於2023年底完成設置資安專責主管與至少一名資安專責人員 |
第三級 | 1.第一級以外的上市(櫃)公司 2.最近連續三年虧損且每股淨值低於面額 | 鼓勵設置至少一名資安專責人員 |
資料來源:臺灣證券交易所、櫃買中心,飛象資訊整理
並根據其分級,規範了對應的資安執行頻率
項目 | 內容 | 第一級 | 第二級 | 第三級 |
資通系統分級及防護基準 | 完成資通系統分級與防護基準;每年至少檢視一次妥適性 | 一年內 | 一年內 | 二年內 |
資訊安全管理系統之導入及通過公正第三方之驗證 | 全部核心資通系統導入資訊安全管理系統,於三年內完成第三方驗證,持續維持其驗證有效性 | 二年內 | 二年內 | 二年內 |
持續運作演練業務 | 全部核心資通系統 | 一年一次 | 二年一次 | 二年一次 |
辦理內部資通安全稽核 | | 一年二次 | 一年一次 | 二年一次 |
資通安全專責人員(一年內) | | 4人 | 2人 | 1人 |
資安治理成熟度評估(公務機關) | | 一年一次 | 一年一次 | |
資料來源:財團法人電信技術中心,飛象資訊整理
企業應該做什麼?
雖然知道資通安全法正式上路,也明白需要遵守規範,但企業具體要做些什麼?
步驟一:盤點資訊系統資產
首先企業必須了解自身擁有的資產,做法其實跟總務在盤點公司資產差不多(如辦公桌X50、置物架X10等),以資訊類的系統資產來說,大致就是虛擬主機與伺服器。
步驟二:資產資安風險評估、檢測
接著企業會需要這些系統資產是否有以下狀況,若存在,通常可以利用弱點掃描檢測出這些問題:
1.作業系統老舊
2.啟用不當服務
3.資訊系統存在漏洞
※詳細需要檢測的項目看這裡
步驟三:風險弱點修復
| 標準 | 對象 |
A | 無高、中、低度及參考資訊類的風險 | 以程式開發的網站,連結資料庫,資料含個資與機敏資料 |
B | 無高、中、低度風險 | 以程式開發的網站,連結資料庫,資料含個資 |
C | 無高、中度風險 | 純靜態網頁或是以程式開發的網站,連結資料庫,資料不含個資或機敏資料 |
企業資安檢測細則有哪些?OKWASP能協助企業什麼?
資料來源:財團法人電信技術中心,飛象資訊整理
從列表可以看出需要檢測的細則項目很多,每一級的要求都不同,甚至每一種檢測項目對應的所需工具也不盡相同,關於什麼樣的問題適合使用的工具可以參考此文章說明。
其中,若是有網站安全弱點檢測的需求,通過ISO27001的飛象資訊開發的OKWASP弱點掃描工具所提供的動態弱點掃描服務,便能有效快速找出需要修復的漏洞,並提供完整的診斷報告,此外OKWASP還提供了第三方認證報告的服務,進一步保障使用者的資訊安全。而這一系列的掃描服務除了滿足法規提到的「資訊安全管理系統之導入及通過公正第三方之驗證」,更是獲得了國家級的推薦,更多OKWASP與資通安全相關可以參考資通安全管理法採購指引懶人包。
