傳產企業資安治理:從合規到強化韌性的全方位部署
本報告探討傳統產業如何從基本合規提升至全面資安韌性部署,以應對現代數位轉型挑戰。企業必須建立全面的資安治理架構,從技術面、認知面和治理面三大構面著手,才能真正強化資安韌性;資安治理本身也需要不斷深化,確保資安策略與企業整體發展方向緊密結合。隨著近年來法規的不斷更新,企業必須主動因應、建立完善的資安管理體系;透過全方位部署,企業才能真正提升整體資安韌性,應對未來數位化轉型的種種挑戰。
傳統產業的資安困境
被動防守,缺乏戰略視角
資安往往被視為IT部門的任務,缺乏治理層級的支持與預算;治理意識薄弱,反應總是慢半拍
系統老化,漏洞叢生
ERP與工控系統老舊難整,網路架構不一致,漏洞難以有效修補,導致風險長期積壓
人才與文化斷層
專業人員招募困難、培訓不易,員工對資安認知停留在防毒軟體,對社交工程與內部風險警覺不足
法規壓力與外部威脅齊至
面對個資法、資安法與上市櫃規範,許多企業知道該做卻不知如何著手,同時勒索攻擊、供應鏈風險不斷升高
資訊安全的戰略升級:從防禦思維走向資安治理
金箍棒:賦能企業效率的數位推進器
在瞬息萬變的時代,企業必須善用數位科技,從雲端、大數據、協作平台,到自動化、物聯網與AI,這些都是轉型的關鍵武器;唯有善用這些如「金箍棒」般的數位工具,企業才能突破傳統框架,提升效率、開創新局。
緊箍咒:資安治理的實務指南
在數位轉型的關鍵時刻,企業必須建立完善的資安治理體系,包括政策制定、多層防護、員工意識培養與事件應變機制。
唯有掌握這些如「緊箍咒」般的資安法則,才能讓創新更穩健,為未來發展築起安全的基石。
唯有掌握這些如「緊箍咒」般的資安法則,才能讓創新更穩健,為未來發展築起安全的基石。
緊箍咒 × 資安治理:六大心法
1
1
紀律
建立政策、導入 ISO 27001
如同唐三藏為孫悟空戴上緊箍咒,制定資安政策與導入 ISO 是建立企業最基本的紀律規範,讓組織行為有章可循。
2
2
界線
權限管理、網路區隔、系統隔離
緊箍咒劃出孫悟空不能越界的行為邊界,就像企業需明確設定誰能進、能做什麼,避免過度存取與系統穿透。
3
3
提醒
教育訓練、社交工程演練
唐三藏念咒,是提醒悟空要警覺;資安演練與教育訓練則提醒員工時時警醒,不陷入風險盲點。
4
4
懲戒
事件通報與應變流程
緊箍咒一啟動,悟空立刻收斂;當資安事件發生,組織也必須立即啟動通報與應變機制,快速止損,防止事態擴大。
5
5
監控
部署 SOC、偵測異常行為
唐三藏雖不親自出手,卻能感知風險並及時反應;企業部署 SOC,就如同裝上一雙「資安慧眼」,即時偵測異常、主動防範於未然。
6
6
隱形存在
資安文化、內部稽核制度化
後期的孫悟空,即使沒被唸咒,也懂自律。當資安內化為文化,組織就具備了看不見、但長存的守護力。
資安治理三大構面
管理面
制度建立與治理成熟度,包括、防護基準、內部稽核、資安人員配置與治理評估
技術面
落實弱點掃描、端點防護、滲透測試、資安檢查與通報回應等技術性手段
認知與訓練面
針對資安專責人員、一般員工實施教育訓練,強化整體組織資安文化
2021 年發布了多項資通安全相關法規,2023 年則有對於「個人資料保護法」之修正
金管會督導證交所及櫃買中心推動八大資安措施
上市櫃公司遭駭客網路攻擊事件頻傳,導致客戶資料外洩,為強化上市櫃公司資通安全,金管會於2024/3/5 宣布,督導證交所和櫃買推動八大資安措施
- 涵蓋對象:所有上市櫃公司
1. 首季抽查資安內控家數翻倍
目前對上市櫃公司資安內控制度查核,抽核家數占全體上市櫃公司0.5%,2024 年首季要翻倍到1%,等於從現行抽查9家,首季翻倍抽核到18家。
2. 明定「重大資安事件」需揭露的標準
首季明訂「重大性」標準,當公司資通系統遭入侵,無法提供服務時,公司需發布重訊公告揭露。一旦因資安事件導致損失金額達3億以上或是超過股本20%,需召開記者會對外公布說明。
3. 推動加入資安聯防中心
推動加入TWCERT/CC共同分享資安事件情資,進行資安聯防。符合第一級(資本額百億元、台灣50成分股、藉電子方式媒介商品所有權移轉或提供服務者;如電子銷售平台、人力銀行等)和第二級(第一級外且近三年來連續虧損且每股淨值高於面額者)都需加入。證交所及櫃買中心對有資安事故發生的公司,需採取特殊監理加入聯防機制。
金管會督導證交所及櫃買中心推動八大資安措施
其他五項措施,包括:
證交所和櫃買檢視修正「上市上櫃公司資通安全管控指引」
落實企業對子公司資訊安全之監督與管理
強化資訊安全人員教育訓練
分享資訊安全事件案例
協助企業取得資安標準國際認證及取得外部驗證
欣陸集團之資通安全管理措施已完全符合主管機關之要求
技術面:落實多層次防護
裝置端
端點防護是企業資安的第一道屏障
系統端
有效管控使用者權限以大幅降低系統遭受攻擊的風險
網路端
透過網路區隔的多重防護機制,有效阻擋網路上的各種攻擊
資料端
透過資料加密技術,確保敏感資料即便遭受入侵也能保持安全
監控端
SOC 7x24 全天候監視網路動態,一旦發現異常立即啟動應變
認知與訓練面:持續提升員工資安意識
資安教育訓練
企業安全,人人有責
定期開展全員資安培訓,不僅提升個人的資安意識和技能,更讓每個人都成為企業網路防線的一員。
社交工程演練
小心社交工程手法、遠離網路陷阱
透過模擬演練,增強全體員工對社交工程攻擊的警覺性、時刻保持警惕。
資安事件演練
資安無小事,人人都是防線
透過定期的資安演練,提升全體員工的資安意識和應變能力,共同維護企業的數位資產安全
資安治理的下一章:深化治理與強化韌性
系統安全組態管理與導入 CMDB
雲端服務安全管理與 CNAPP
供應鏈與第三方風險管理
資安態勢管理與外部攻擊面管理 EASM
身分安全與特權存取管理
Zero Trust 零信任安全架構
業務持續營運與災難復原計畫
軟體開發流程導入 DevSecOps
3 Takeaways
金箍棒推創新,緊箍咒守信任
數位轉型是企業破局的武器,但若缺乏資安治理,創新可能成為風險放大器。
ISO 是起點,治理才是關鍵
通過 ISO 27001 並不等於資安到位,反而只是起步。
從系統安全組態到零信任架構,從雲端風險評估到特權存取控管,治理的功課才剛開始。
從系統安全組態到零信任架構,從雲端風險評估到特權存取控管,治理的功課才剛開始。
資安要進董事會,也要進組織文化
資安不再只是技術議題,而是營運策略的一環,它必須被量化、治理、傳遞,讓每個部門都成為資安的一道防線。