上市櫃公司資通安全管控全面指南

前言

上市櫃公司資通安全管控概述

在現今數位化的時代，資訊安全已成為上市櫃公司營運的關鍵要素。隨著網路威脅的不斷增長，企業對資通安全的需求也日益增加。本指南將深入探討上市櫃公司在資通安全管控方面的需求與商機，幫助企業了解如何建立和維護有效的資訊安全體系。

資訊安全在當今數位時代的重要性

資通安全關乎企業的營運連續性、客戶資料保護以及法律合規性。任何資訊安全事件，無論是駭客攻擊還是資料外洩，對企業的影響都可能是毀滅性的。因此，建立健全的資訊安全管理制度是企業持續成功的必要條件。

資訊安全的法規與制度架構

臺灣資通安全相關法律概述

在台灣，資通安全的法律架構分為不同的層級，包括憲法、母法、子法及指引。憲法是國家最高規範，所有法律與命令都必須符合其規範。而資通安全相關的母法，如資通安全管理法，則為企業的資訊安全管理提供了法律依據。

影響資通安全管理的主要法律法規

企業必須遵循一系列法律，包括《資通安全管理法》、《公開發行公司建立內部控制制度處理準則》等，以確保其資訊安全管理作業符合法規要求。

指引的解釋與法規遵循

資通安全指引的制定旨在協助企業理解如何遵循法律並建立有效的資通安全管理體系，該指引包含政策與管理面、技術面、認知訓練面等37條重點，企業可依據自身規模與風險進行採行。

資通安全管控指引的理解

資通安全管控指引的演變（2021-2024年）

自2021年12月臺灣證券交易所首次發布「上市上櫃公司資通安全管控指引」以來，該指引不斷修訂以應對新的資安威脅。2024年5月的最新修訂，擴大了資安事件揭露的範圍，要求上市櫃公司在發生資安事件時必須充分揭露相關訊息。

資通安全管控指引的主要組成部分

該指引主要包括政策與管理面、技術面、以及認知訓練面三大方面，指導企業如何設立資安組織、配置資安資源，並且在技術方面實施必要的防護措施。

政策管理、技術、認知訓練等方面的差異

政策與管理面主要涉及企業內部的資安管理制度與組織架構，技術面則著重於實際的資訊安全措施，而認知訓練則旨在提高全體員工的資安意識，確保企業的整體資安水準。

有效的資通安全方案設計

設計資通安全方案的關鍵原則

一個有效的資通安全方案必須考慮到企業的組織目標與風險管理需求，並根據國際標準與法規要求制定，確保涵蓋內外部稽核、風險評估以及資安事件的預防與應變策略。

內部與外部稽核措施

企業必須定期進行內部與外部資安稽核，識別現有的安全漏洞，並制定相應的改善措施，以確保資訊安全管理的持續有效性。

ISO標準的整合（ISO 27001、ISO 27701、PCI-DSS）

ISO 27001是全球公認的資訊安全管理系統標準，ISO 27701則是針對隱私資訊管理的標準，而PCI-DSS則針對支付卡資訊的安全管理。企業應結合這些標準，建立健全的資安管理體系。

合規性要求與影響

遵循金融資安行動方案2.0的重要性

金融資安行動方案2.0為企業提供了金融領域的資安標準，要求企業在資安防護上達到一定水準，確保金融資訊的安全與保護。

根據NIST SP系列與MITRE ATT&CK評估的最佳實踐

NIST SP系列標準以及MITRE ATT&CK評估為企業提供了資訊安全的最佳實踐，包括風險管理、資安防護技術與資安事件應變策略等，企業可根據這些最佳實踐來提升資安管理水平。

建立強大的資通安全基礎架構

基本的資通安全控制措施（防火牆、防毒軟體、DLP等）

建立強大的資通安全基礎架構需要實施一系列控制措施，例如網路防火牆、防毒軟體、資料防漏（DLP）等，確保企業內部資訊系統的安全。

建立有效的網路防禦策略（WAF、EDR、MDR）

網頁應用程式防火牆（WAF）、終端偵測與反應（EDR）、管理型偵測與反應（MDR）等技術是防止網路攻擊的重要防禦策略，能夠有效減少外部攻擊對企業資訊系統的威脅。

建立安全的電子郵件過濾與監控系統

電子郵件往往是網路攻擊的主要途徑之一，企業應建立電子郵件過濾與監控系統，防止垃圾郵件、釣魚攻擊等威脅，確保資訊的安全性。

資通安全管理團隊的發展

資通安全人員的角色與職責

企業需要建立一個專業的資通安全管理團隊，資安專責主管與專責人員的主要職責包括制定資安策略、監督資安事件應變以及資安管理制度的推動等。

建立資訊安全人員的專業能力

為確保資安團隊能夠有效執行職責，企業應持續投資於資通安全人員的培訓與專業能力發展，取得ISO 27001、CISM、CISSP等專業證照，提升團隊的技術水平與管理能力。

資通安全事件通報與應變策略

資通安全事件通報與應變管理的關鍵步驟

當企業發生資安事件時，必須立即啟動應變機制，進行事件通報、調查、處理及復原。企業應建立一套完善的通報程序，確保在事件發生後能迅速反應，降低損失與風險。

確保在資安事件期間的即時溝通與透明度

發生資安事件時，及時的溝通與資訊透明度非常重要。企業應向內外部相關人員進行即時通報，確保資安事件的影響範圍被正確掌握，並採取適當的應對措施。

資通安全風險管理與減輕

識別與評估資訊安全風險

企業應定期進行資安風險評估，識別可能影響營運的風險來源，並根據風險程度進行優先排序，以制定適當的防護措施來減輕風險。

實施風險減輕策略

根據風險評估結果，企業應採取相應的風險減輕策略，包括技術防護、流程改善、教育訓練等，確保風險在可控範圍內，維護資訊系統的安全性。

資料保護與備份方案的實施

資料備份與恢復的最佳實踐

資料備份是防止資料遺失與破壞的重要措施，企業應定期進行資料備份，並確保備份資料的完整性與可用性，以便在發生資安事件時能夠快速恢復營運。

資料加密與安全儲存技術

對於機敏資料，企業應採用加密技術進行保護，確保資料在傳輸與儲存過程中的安全性，避免未經授權的存取與竊取。

定期資安評估與稽核

弱點掃描與滲透測試

企業應定期進行弱點掃描與滲透測試，檢查資訊系統的安全漏洞，並採取適當的補救措施，以提升資安防護能力。

紅隊與藍隊演練的角色

紅隊與藍隊演練是一種模擬攻擊與防禦的資安測試方法，通過實際的攻擊演練來檢測企業的資安防護能力，並根據測試結果進行改進。

資通安全訓練與意識提升

持續訓練與意識提升的重要性

資通安全是一項全員參與的工作，企業應定期舉辦資安訓練與宣導活動，提高全體員工的資安意識，避免因人為疏忽導致的資安事件。

社交工程演練與評估

社交工程是駭客常用的攻擊手法之一，企業應定期進行社交工程演練，並針對員工的反應進行評估與改進，以防止此類攻擊的成功。

上市櫃公司資通安全未來發展趨勢

新興科技對資通安全的影響

隨著新興科技的發展，如人工智慧、物聯網等，資通安全威脅的形態也不斷演變，企業必須時刻關注科技發展趨勢，調整資安策略以應對新的挑戰。

為2024年及以後的法規變化做好準備

政府對於資訊安全的法規要求將持續提高，企業必須提前做好準備，確保其資安管理符合未來的法規標準，維護企業的營運穩定性與合規性。

結論

加強資通安全管控的關鍵要點

資通安全已成為企業營運不可或缺的一部分，上市櫃公司必須建立全面的資安管理體系，從政策管理、技術防護到人員訓練，確保企業的資訊安全不受威脅。

合規與最佳實踐的建議

企業應根據資通安全管控指引，結合國際標準與最佳實踐，建立符合自身需求的資安管理制度，並定期進行檢討與改進，保持資訊安全的持續有效性。

常見問答

1. 為什麼資通安全對上市櫃公司如此重要？

資通安全關乎企業的營運連續性、客戶資料保護以及法律合規性。任何資訊安全事件都可能對企業造成嚴重損害，甚至導致法律責任，因此資通安全對上市櫃公司非常重要。

2. 上市櫃公司應如何遵循資通安全管控指引？

企業應根據自身產業特性、規模大小及資安風險，適度採行資通安全管控指引中的政策與管理、技術、認知訓練等方面，並結合國際標準進行資安管理。

3. 如何建立有效的資安管理團隊？

企業應指定資安專責主管與人員，並持續進行專業訓練，取得資通安全相關證照，確保團隊具備足夠的資安知識與技能。

4. 什麼是紅隊與藍隊演練？

紅隊與藍隊演練是一種模擬攻擊與防禦的資安測試方法，紅隊負責攻擊模擬，藍隊則負責防禦，通過此方式測試企業的資安防護能力。

5. 未來的資通安全發展趨勢是什麼？

隨著科技的發展，資通安全威脅的形態也不斷變化。企業需要關注人工智慧、物聯網等新興科技帶來的資安挑戰，並隨時調整資安策略。