专家传真－上市上柜公司治理与技术强化带动新世代资安趋势

上市上柜公司应依循相关法令法规及指引的要求，研拟对应之资安治理策略及控管机制。从规划资安组织与指派专责人员、盘点资源、分析核心业务与核心资通系统、建立委外资安管理，到落实营运持续与供应商风险管理等资安控管机制，企业需要完善地规划、实施、检核、改善，才能在有效进行资安防护与管控同时，迅速回应内外诉求与事件，增强企业资安韧性。

新世代资安发展趋势

金管会于110年修正「公开发行公司建立内部控制制度处理准则」，公开发行公司符合一定条件者，金管会得命令指派综理资讯安全政策推动及资源调度事务之人兼任资讯安全长，及设置资讯安全专责单位、主管及人员，以落实资讯安全管理作业。此举不只代表主管机关重视资安的决心，也说明了上市上柜公司的管理责任也随之加重。

建议企业在管理面上除设立资讯安全专责单位及厘清相关权责外，应就赖以维生的核心业务评估相关资安风险并加以保护，如分析核心业务与其关连之核心资通系统，定期盘点并鉴别资产价值，与评估受冲击的因应措施并定期演练，另须包含对委外厂商的安全管理作为等。

而于基础建设面来看，建议企业建构资安防护控制措施，如对企业网路行逻辑与实体上之安全区隔、防毒软体、网路防火墙、电子邮件过滤机制、入侵侦测及防御机制、进阶持续性威胁攻击防御措施及资通安全威胁侦测管理机制（SOC）等，另如有对外服务之核心资通系统者，则须具备应用程式防火墙。

就技术层面而言，针对资通系统发展的相关安全要求应加以强化，如机敏资料存取控制、用户登入身分验证及用户输入输出之检查过滤等纳入发展规格内，并定期执行安全性要求测试与资安检测作业，完成弱点修补，另须每年定期办理电子邮件社交工程演练，并保留相关纪录。此外，也建议企业加入资安情资分享组织，取得资安预警情资、资安威胁与弱点资讯。

资安治理强化服务与资源

随着现今全球化、企业流程高度资讯化趋势，资讯科技的风险管理立即面临客户及监理机关之检验。企业为提供完整、即时之资讯并同时满足客户及主管机关之要求，极力保护公司所有赖以生存维运的资产，以保障企业营业资讯之机密性，维护公司营运命脉，保障市场竞争优势，避免核心竞争力之流失。

勤业众信风险咨询团队定期针对全球趋势议题设计调查与数据分析、召开国际会议，同时汇整Deloitte全球领袖意见，针对企业资安治理、管理、控管强化与技术检测等资安韧性强化需求共同研究，并就管理、基础建设与技术层面，在资讯安全各个面向建构出完整的导入建议与技术指导服务框架。面对现今产业所面临的威胁或多元需求，都能协助企业以最适合的方法论，依照企业本身特性与营运状况，强化其整体资讯安全韧性与架构而无后顾之忧。