《資通安全管理法》總整理,企業資安防禦重點、必備軟體一次掌握!
企業《資安法》總整理,企業資安防禦重點、必備軟體一次掌握
資通安全管理法 — 企業應對資安的新規範
自 5 月底開始,上市公司資安事件揭露範圍擴大,不論是否涉及核心、機密都應切實應規定發布重大訊息,面對變化多端的資安攻擊與資安法的修正,遠振整理了 2024 年應對資訊安全的措施與你分享。
若想了解完整的法規,請閱讀數發部《資通安全管理法及子法》,想快速知道重點請繼續往下閱讀!
延伸閱讀:2025 資訊安全 10 大趨勢,AI 資安風險與企業新布局
資安法為什麼這麼重要?
談到資安,不得不先從最重要的資安法開始講起。資安法的實施除了可以保護企業聲譽,維護客戶信任,也因為符合國際資安標準,能夠促進與國際間的合作機會。不過最重要的還是在有效的資安管理下,可以降低網路攻擊及資料洩漏風險,保障企業資產和營運。
資安管理怎麼做?資安法三大面向
為了強化上市櫃公司資訊安全管理機制,金管會已從資訊揭露、公司治理及監理協助等,三個層面做切入,以推動強化公司資通安全管理:
資訊揭露層面 |
公司治理層面 |
監理協助層面 |
► 上市(櫃)公司發生重大資安事件時,應即時發布重大訊息 ► 年報及公開說明書需敘明資通安全管理政策及方案、投入資源、資安風險影響程度與因應措施,以及重大資通安全事件之影響 |
► 制定資通安全管控指引,完成設置資安長、資安專責主管及人員 ► 定期檢視及更新資安策略,並加強員工資安意識 |
► 企業導入並遵循ISO 27001 或 CNS 27001資訊安全管理系統標準 |
違反資安法、資通安全管理法的罰款與金額
身為資訊行業,維護公司資安一直是遠振重要的日常工作項目。下面整理出根據《資通安全管理法》及其它規定的補充,以及企業若違反資通安全相關法律,可能會面臨以下罰款和處罰:
資通安全事件未通報:
若企業未依規定訂定資通安全事件通報及應變機制,或者未向主管機關報告資通安全事件的調查、處理及改善情形,會被 30 萬元以上 500 萬元以下罰鍰。
(參考法條:資安法第 18 條、第 21 條)
未依規定訂定或實施資通安全維護計畫:
如果企業未依規定訂定、修正或實施資通安全維護計畫,須在期限內提出改善報告,若為改善,可按次處罰 10 萬元以上、100 萬元以下。
(參考法條:資安法第 16 條、第 20 條)
未向主管機關提交資通安全維護計畫實施情形:
若企業未按要求向主管機關提交資通安全維護計畫的實施情形,可按次處罰新臺幣 10 萬元以上、100 萬元以下。
(參考法條:資安法第 17 條、第 20 條)
補充:個資法違規罰款
企業若違反個人資料保護的安全維護義務,可直接開罰,情節嚴重者最重可罰 1,500 萬元。
(參考法條:個資法第 48 條、第 56 條)
資通安全管理法懶人包 — 資通安全管控指引重點整理
資訊安全的事件可大可小,為了提升上市櫃公司對資通安全的重視,金管會為此正式發布了一份《上市上櫃公司資通安全管控指引》,來提升企業資安意識。
但如果不是資安部門人員,可能會覺得指引讀起來艱澀又費時,我們將指引內容整理成公司管理、員工訓練與技術資源,並在最後告訴大家資安防護的必裝軟體與推薦軟體。
公司管理
資通安全推動:成立專責組織,分配資源,指派主管及人員,定期檢視並推動資安政策。
作業程序:涵蓋核心業務、系統盤點、風險評估、系統發展及維護、安全防護、委外管理、事件通報及應變。
員工訓練
安全宣導:全體員工每年接受資安培訓,專責人員接受專業課程。
社交工程演練:舉例 每年進行電子郵件演練,對誤開啟信件者進行教育訓練。
資安防護軟體總覽
類別 |
資安防護控制措施 |
阻擋作用 |
| 資通安全管控指引 必做防護項目 |
★ 防毒軟體 ★ 網路防火牆 ★ 應用程式防火牆 ★ 入侵偵測 |
防止病毒、惡意軟體和未經授權的網路訪問、電子郵件過濾
|
| 系統安全檢測 | ☆ 定期執行弱點掃描 ☆ 滲透測試 ☆ 源碼安全檢測 |
發現和修補系統漏洞,防止潛在攻擊 |
| 資料保護 | ☆ 資料加密 ☆ 存取權限 ☆ 傳輸加密 |
保護機密性資料遭洩露或未經授權訪問 |
讓遠振資訊做您最強大的後盾,協助您瞭解威脅並降低風險!
遠振資訊擁有 ISO 27001 資安驗證,並擁有超過 15 年的行業知識和審核經驗,協助企業維護資訊安全及風險管理,排除潛在威脅。不確定企業的資安防護夠不夠?不確定弱點掃描需要多久做一次?有任何疑問都歡迎立即諮詢,將有遠振資訊專業顧問為您服務!
AI-WAF
網站應用防火牆
方案特色
- 靈活地調整規則,確保與網站需求貼合
- 分析攻擊特徵,識別未知威脅或新攻擊模式
- 保護網站免受 OWASP 十大風險的影響
- 身份驗證安全性、DDoS 防護、流量監控與預防駭客攻擊
