《資安法》資安等級懶人包 | 企業資安落實挑戰與解決方案全解析!
從國內資安事件來看,企業為什麼需要了解資安等級?
隨著數位化時代的來臨,企業面臨的資安威脅更加嚴重。根據數發部資安署發布 2023 年資安情勢報告顯示: 2023 年政府資安事件通報總共 697 件,其中,1 級和 2 級資安事件佔多數,超過97%,而更嚴重的 3 級資安事件則有 2.44% (共 17 件)。在2024 年更爆發大規模的 DDoS 攻擊事件,影響至少 45 個單位與企業網站。依台灣國家安全局的報告顯示:2024 年台灣政府部門平均每日遭受約 240 萬次網路攻擊,是去年 2023 年的 120 萬次的 2 倍多,顯示資安事件的發生頻率不斷攀升。
企業規模不論大小,都需要重視資訊安全。因此,台灣的《資通安全管理法》(簡稱資通法、資安法)針對不同類型的機構或企業,制定了 A~E 級 五個資安等級的資安防護要求,以確保企業能落實符合的資安保護機制與策略。本文將深入解析資通法中的資安等級,幫助企業選擇適合的資安等級,並提升資安防護能力。
延伸閱讀:《資通安全管理法》總整理,企業資安防禦重點、必備軟體一次掌握!
資安事件怎麼分級呢?
台灣的資安事件分級是依據《資通安全管理法》及相關規範,依據事件對機密性、完整性及可用性的影響程度,將資安事件由輕至重分為 1 級、2 級、3 級及 4 級,共四個等級。
想了解更多詳細的國家資通安全情勢報告
《資通法》資安等級:A~E 資安等級,帶你完整了解
《資安法》資安等級的背景與目的
資通安全管理法(簡稱資通法、資安法)是台灣政府為了強化國內資安而定下的法規,於 2018 年 6 月發布,2019 年 1 月 1 日正式施行,為了適應不斷變化的資安環境,在 2023 年首次進行修訂。資安法主要目標是確保政府機關和特定非公務機關(如關鍵基礎設施提供者,例如金融、電信等)的數位安全,避免機密資料外洩、駭客或病毒攻擊等風險,讓國家與企業的資訊安全更有保障!
《資通安全管理法》的架構
主要從資安分級制度、資安管理責任、資安事件應變與罰則規範 4 個方面來規範資安管理。要求政府機關與關鍵基礎設施提供者,必須依照資安風險等級分級管理,需要建立相應的資安計畫、確實落實防護措施、定期檢查,以及萬一發生資安事件事該如何處理。最後,政府主管機關負責監督,確保資安管理符合法規,共同提升國家整理資安。
圖說:資安法架構 / 圖檔來源:數發部資安署
《資通法》5 大資安等級分級詳解
依據《資通安全管理法》,資安等級劃分依照業務的重要性、機密性、機關層級及資訊系統規模等因素,將資安責任劃分為 A、B、C、D、E 五個等級。A 級風險最高,需要最嚴格的資安要求,而 E 級則是相對低風險,這樣的資安標準劃分確保不同類型的企業或組織都能依據自身的狀況,量身打造更適合的資安策略與防護措施,有效防止資訊安全漏洞。
經濟部工業局委託財團法人工業技術研究院與財團法人電信技術中心提供《資通安全管理法》採購指引懶人包,協助相關組織或機構了解相關資安的服務內容與建議。
首先,從下表先幫助企業或組織判斷是屬於哪個資安等級。
圖說:資通安全責任等級分類 / 資料來源:財團法人電信技術中心
對應企業的資安等級,總共有 21 項資安防護指標,包含過管理面、技術面、認知訓練面 3 大面項,如下圖。
圖說:資通安全管理法 21 項指引項目 / 資料來源:財團法人電信技術中心
根據數發部資通安全責任等級分級辦法,簡單說明各等級的資安要求,並整理如下表幫助您快速了解各等級的差異。
想了解更多細節可以前往數發部查詢資通安全責任等級分級辦法
A~E 資安等級說明
A 級資通安全要求(最高等級)
適用國家核心設施、公務機關的重要資通系統。要求最嚴格,包括 ISO 27001 認證、完整資安監控、每年兩次內部稽核、定期滲透測試、威脅偵測機制等。人員配置至少 4 名專職資安人員,並需接受專業培訓。
B 級資通安全要求
適用具有重要公共服務的政府機關、金融機構等。管理規範與 A 級類似,但要求稍微放寬,如人員配置可較少,部分測試頻率可降低。
C 級資安要求
適用一般政府機關、大型企業,資安要求中等。例如,每年一次內部稽核,基本防火牆、入侵偵測等,無須 ISO 27001 認證,但仍需有資安監控機制。
D 級資通安全要求
適用中小型企業或一般機構,資安要求基礎即可。主要聚焦在基本的資安政策、員工教育訓練、電腦與網路防護(如防火牆、防毒軟體)。
E 級資通安全要求(最初級)
適用個人或小型企業,資安要求最低。僅建議基本的資安防護措施,如使用防毒軟體、開啟系統自動更新、定期變更密碼等。
資安 5 等級比較表
| 資安等級 | 主要適用對象 | 內部稽核 | 滲透測試 | ISO 27001 認證 | 人員配置 | 防護措施 |
|---|---|---|---|---|---|---|
| A 級 | 國家級基礎設施、公務機關 | 每年 2 次 | 每年 1 次 | 需要 | 4 名專職 | 端點偵測、入侵防禦、防毒、防火牆、應用程式防火牆 |
| B 級 | 重要公共服務機關、金融機構 | 每年 1 次 | 依需求 | 建議 | 2 名以上 | 入侵防禦、防毒、防火牆 |
| C 級 | 一般政府機關、大型企業 | 每年 1 次 | 無強制要求 | 不須要 | 1 名以上 | 防火牆、防毒軟體、員工教育訓練 |
| D 級 | 中小企業、一般機構 | 依需求 | 無強制要求 | 不須要 | 兼職或外包 | 基本防火牆、防毒軟體 |
| E 級 | 小型企業、個人 | 無 | 無 | 不須要 | 不須要 | 基本防火牆、防毒軟體、密碼管理 |
企業資安等級怎麼選?4 步驟有效落實資安防護,降低風險不踩雷
企業落實資安等級,透過 4 大關鍵步驟:確認等級 ➝ 訂定策略 ➝ 建立監控機制 ➝ 持續優化,確保符合《資通安全管理法》法規要求,建立相應的資安政策與機制,強化企業的資安能力,有效降低風險。此外,如何選擇適合的企業資安等級?可以從業務影響範圍、法規要求、IT 技術 3 個面向評估,確保企業在資安與經營上取得最佳平衡。
⊚ 步驟 1:確認企業適用的資安等級
依照企業的業務性質、規模大小、影響範圍,選擇適合的資安等級,對於中小企業來說,應該用實際需求來決定資安投入,而不是一味追求最高規格。以下 3 面向幫助您快速評估最適合的資安等級:
- 面向 1:評估企業類型與業務風險
- 面向 2:確認企業處理的資料類型
- 面向 3:評估企業 IT 技術與預算
面向 1:評估企業類型與業務風險
企業的規模大小與業務類型決定了資安風險的高低。例如,擁有大量顧客數據的企業需要更強的資安防護,而規模較小的企業可依實際需求選擇適當的資安措施。下面簡表幫助您更快速分辨資安等級,而不同產業也會有不同的風險,我們將在下一段落更詳細的說明。
| 業務 / 產業類型 | 常見風險 | 建議資安等級 |
|---|---|---|
| 金融 / 醫療 | 個資外洩風險較大、法規要求較高 | A ~ B 級 |
| 會員制網站 / 電子商務 | 資料庫較易遭攻擊、詐騙交易 | B ~ C 級 |
| 一般企業 / 內部 IT 系統 | 員工誤點釣魚信、惡意軟體 | C ~ D 級 |
| 小型企業 / 創業公司 | 基本資料保護需求 | D ~ E 級 |
面向 2:確認企業處理的資料類型
企業所要處理的資料數據越機密,資安要求就越高,需依據相關法規與風險評估做適當的資安等級,以確保資料安全。下面簡表幫助您更快速了解資安等級的選擇:
| 資料類型 | 適用法規 | 常見風險 | 建議資安等級 |
|---|---|---|---|
| 信用卡 / 交易資料 | 金融法規、PCI DSS | 交易資料被盜、信用卡詐騙 | A 級 |
| 病歷 / 醫療資料 | 健保法、GDPR、HIPAA | 病患隱私外洩、醫療詐騙、勒索病毒攻擊 | B 級 |
| 客戶個資(姓名、電話、地址) | 個資法、GDPR | 身份盜用、詐騙電話、釣魚攻擊 | C 級 |
| 企業內部文件 / 員工資料 | 無特定法規,但仍要遵守資安保護方針 | 內部資料外流、社交工程攻擊、離職員工竊取資料 | C ~ D 級 |
| 顧客行為 / 行銷數據 | 個資法、消費者保護法 | 廣告詐騙、資料庫被駭 | D 級 |
| 一般文件 / 經營報告 | 無特定法規 | 未加密傳輸導致資料外洩、惡意存取 | E 級 |
面向 3:評估企業 IT 技術與預算
即使想提升資安等級,也要評估企業有沒有 IT 人員,預算夠不夠。若企業 IT 資源越少,就越需要依賴外部的資安解決方案,才能降低資安風險。下面簡表幫助您更快評估企業資安等級:
| 企業 IT 狀況 | 適用企業 | 建議資安策略 | 建議資安等級 |
|---|---|---|---|
| 內建資安團隊(SOC) | 金融機構、科技業、大型企業 | 內部 SOC 資安監控、24 小時即時威脅偵測、定期弱點掃描 | A 級 |
| 有 IT 技術,但無專職資安人員 | 中型企業、電商平台、雲端服務商 | WAF 防火牆、MFA 多因素驗證、EDR 端點防護 | B 級 |
| 僅有基本 IT 維運 | 一般企業、零售業、製造業 | WAF 防火牆、OSecure 郵件資安、DLP 資料防外洩、定期備份、員工資安訓練 | C 級 |
| 無 IT 團隊,依賴雲端服務 | 小型企業、餐飲業、地方服務業、新創團隊 | WAF 防火牆、OSecure 郵件資安、定期備份、MFA 多因素驗證、資安意識培訓 | D ~ E 級 |
⊚ 步驟 2:訂定符合企業資安等級要求的資訊安全架構與策略
確定企業資安等級後,企業應該導入相應的資安防護措施與管理機制,才能保護企業網路與系統安全。
- 建立資安管理制度,資安等級越高,就需依據 ISO 27001、NIST CSF 等國際標準制定內部規範。
- 落實技術防護措施,如網路防火牆、DDoS 防禦機制等防範外部攻擊,端點防護(EDR)、資安監控(SIEM)能即時偵測資安威脅,存取權限管理、多因素驗證(MFA)以防止內部資料外洩,資料備份與異地備援有效防範勒索病毒與災難恢復。
- 設定資安通報與應變機制,對應不同的資安等級,確保在規定的時限內能快速回應資安事件,或通報主管機關。
⊚ 步驟 3:建立資安應變與監控機制
即使企業依照規範落實資安要求,也無法 100% 防範所有資安攻擊,因此企業建立即時監控與資安事件應變計畫(Incident Response Plan, IRP)相當重要,在面臨資安攻擊時,能迅速應變處理,降低對企業的影響與災害損失。
- 將資安事件分類,例如:資料外洩、駭客入侵、勒索攻擊 等,面對不同類型的資安事件,對應不同處理方式。
- 建立完善資安通報機制,確保企業能在規定時限內通報主管機關,避免違反法規。
- 每年進行至少 1~2 次資安事件模擬演練,確保企業員工在面對資安攻擊時能快速反應。
- 員工資安訓練,確保企業員工對資安的了解,並避免釣魚攻擊、內部人員操作失誤等風險。
- 導入 SOC(安全運營中心)或 MDR(託管式偵測與回應),監控異常行為。
- 中小企業可透過雲端資安服務降低技術門檻,確保 24 小時資安監控能力。
⊚ 步驟 4:定期評估企業資安現況,持續監測與資安教育
企業環境與資安威脅不斷演變,資安防護不是一時的,企業必需長期的投入資訊安全管理機制,才能確保企業維持一定的資安標準,有效防護企業安全。
- 每年進行一次資安風險評估,確認是否需要提升資安等級。
- 定期更新資安防護技術,確保使用最新的資安設備與軟體版本。
- 根據資安事件回顧與分析,調整內部 SOP,確保未來能更快應變。
- 提供資安教育訓練,確保員工具備防釣魚郵件、密碼管理與內部資料存取等資安意識。
6 大產業資安等級怎麼選?資安挑戰與做法一次搞懂!
資安等級不僅是法規要求,更是企業經營安全與客戶信任的關鍵。除了台灣的資通安全管理法(A~E 級),不同產業還有各自的資安標準。以下針對金融業、醫療業、製造業與供應鏈、電商產業、雲端與科技業、中小企業與創業 6 大產業,說明常見的資安挑戰,以及適用的資安標準,幫助企業找出最適合的資安規範。
金融業
高風險、法規要求嚴格
資安挑戰
- 金融詐騙、資料外洩:駭客透過網路釣魚、勒索病毒攻擊金融機構。
- DDoS 攻擊:駭客透過大量請求癱瘓銀行系統,影響交易。
- 內部風險:員工誤點惡意郵件、資料未經授權存取。
適用標準
- 台灣:金融監督管理委員會「金融機構資通安全檢查基準」
- 國際:ISO 27001(資安管理系統)、PCI DSS(信用卡交易安全)
建議做法
- SOC 資安監控:即時偵測異常交易與駭客行為。
- 多重驗證(MFA):防止帳號被盜用。
- 零信任架構:加強內部存取權限的控管。
醫療業
病患資料安全第一
資安挑戰
- 病歷外洩:醫療機構存放大量個資,容易成為攻擊目標。
- 勒索病毒攻擊:駭客加密病歷資料,要求贖金。
- IoT 設備風險:醫療儀器連網,可能遭遠端控制。
適用標準
- 台灣:個資法、健保署「醫療機構資安指引」
- 國際:ISO 27799(醫療資安)、HIPAA(美國醫療資訊隱私法)
建議做法
- 病歷加密存放,防止未授權存取。
- 強化 IoT 端點防護,確保醫療設備安全。
- 定期演練資安事件應變計畫,提升員工資安意識。
製造業與供應鏈
智慧工廠成為駭客新目標
資安挑戰
- OT(營運技術)系統攻擊:駭客入侵生產設備,影響產線運作。
- 供應鏈攻擊:駭客透過供應商入侵企業系統。
- 設備漏洞:許多舊型工控系統未更新,存在資安風險。
適用標準
- 台灣:工業局「智慧製造資安規範」
- 國際:IEC 62443(工控系統資安)、NIST CSF(美國國家資安框架)
建議做法
- 區隔 OT 與 IT 網路,避免生產設備受駭。
- 供應商資安評估,確保合作夥伴安全性。
- 工控系統定期弱點掃描,降低漏洞風險。
電商產業
交易安全與個資保護
資安挑戰
- 個資外洩:駭客竊取會員資料,進行詐騙。
- 假冒交易:黑客利用漏洞進行盜刷或假交易。
- DDoS 攻擊:大量流量攻擊網站,影響營運。
適用標準
- 台灣:個資法、經濟部「電商資安指引」
- 國際:PCI DSS(信用卡交易安全)、ISO 27017(雲端安全)
建議做法
- WAF 防火牆:阻擋惡意請求與攻擊。
- 信用卡交易加密,確保支付安全。
- 客戶帳號保護,避免密碼外洩。
雲端與科技業
API 與雲端安全挑戰
資安挑戰
- API 漏洞:駭客利用 API 攻擊雲端服務。
- 未授權存取:雲端設定錯誤,導致資料外洩。
- DDoS 攻擊:影響雲端服務可用性。
適用標準
- 台灣:數位發展部「雲端資安規範」
- 國際:ISO 27017(雲端安全)、CSA STAR(雲端資安評估)
建議做法
- API 安全驗證,避免未授權存取。
- 雲端存取權限管理,確保只有授權人員能存取。
- DDoS 防禦機制,確保服務穩定運行。
中小企業與創業
資安投入可能有限
資安挑戰
- 資安資源不足:沒有專職 IT 團隊,資安防護能力較低。
- 釣魚郵件攻擊:員工可能受騙,導致資料外洩。
- 勒索病毒威脅:資料遭加密後被勒索贖金。
適用標準
- 台灣:資通安全管理法(D ~ E 級)
- 國際:ISO 27001
建議做法
- 使用雲端資安方案,降低 IT 維運負擔。
- 定期備份資料,防止勒索病毒攻擊。
- 定期員工資安訓練,提高防詐騙能力。
從台灣資安案例談談:企業落實資安等級的 3 大挑戰
企業在數位轉型的過程中,越來越依賴雲端、SaaS 服務、遠端辦公與電子商務等數位工具,但這也讓駭客有更多機會發動攻擊。根據資安報告,台灣企業每年遭遇駭客攻擊的比例不斷攀升,從勒索病毒、釣魚詐騙、DDoS 瘫痪網站,到內部員工誤點惡意連結,資安事件層出不窮。
台灣企業面臨常見的資安威脅該如何應對?在落實資安等級時會遇到哪些挑戰?以下為您提供實用資安對策,幫助企業避免成為駭客的目標!
國內中小企業資安案例研究
科技公司雲端服務遭 DDoS 攻擊
某科技公司因雲端伺服器遭受大規模 DDoS 攻擊,導致業務服務停擺 12 小時,影響數百萬用戶。最終透過 WAF(Web Application Firewall)與流量清洗技術,再搭配 DDoS 防禦機制與 CDN(內容傳遞網路),確保未來攻擊不再影響服務。
廣告公司員工誤點釣魚郵件,客戶名單外洩
某廣告公司員工收到假冒客戶的釣魚郵件,點擊連結後帳號遭駭,駭客盜取 5,000 筆客戶名單,並將資料外流。事後公司 導入 OSecure 雲端郵件資安服務過濾惡意郵件,並強制 MFA(多因素驗證),確保即使帳號密碼外洩,也不會被駭客輕易登入。
企業落實資安等級的挑戰
雖然企業已經意識到資安的重要性,但在落實資安等級的過程中,仍會遇到預算限制、缺乏專業人員、內部執行力不足等挑戰,導致資安策略難以確實執行。
挑戰 1:資安 vs. 成本,企業該如何平衡?
中小企業往往預算有限,無法像大型企業一樣投入大量資源在資安設備、SOC 監控、專職資安人員等領域,導致資安防護不足,成為駭客的目標。
企業可以這樣做:
- 優先強化核心業務防護:針對最容易受到攻擊的領域(如交易系統、客戶資料庫)加強防護,確保關鍵資產不受影響。
- 使用雲端資安服務:比起一次性購買昂貴的資安設備,企業可選擇資安即服務(Security as a Service, SECaaS),降低資本支出,同時享有專業級資安防護。
- 申請政府資安補助:數位發展部、經濟部等單位提供資安補助計畫,企業可善用這些資源來降低資安成本。
挑戰 2:企業缺乏專業資安人員,難以落實資安防護
台灣資安專業人力短缺,許多企業內部沒有專職資安人員,導致企業即使採購了資安設備,也無法有效管理、監控與應變,防護力大打折扣。
企業可以這樣做:
- 資安外包服務(Managed Security Services, MSS):透過專業資安顧問與外部 SOC 服務,讓企業無需額外聘請資安專家,也能獲得即時監控與資安應變支援。
- 提升內部 IT 團隊的資安能力:企業應為 IT 人員提供資安相關認證訓練,如 ISO 27001,確保具備基本資安知識。
- 導入 AI 自動化資安監測:透過 AI 驅動的威脅偵測系統,減少對人力的依賴,維護資安保護更有效率。
挑戰 3:企業內部員工對資安不夠重視,執行力不足
許多企業的資安問題,可能不是技術不足,而是來自員工缺乏資安意識,例如使用易破解的弱密碼、沒有定期更新系統、點擊釣魚郵件等,使企業成為駭客的「軟目標」。
企業可以這樣做:
- 建立強制資安政策:要求員工必須使用 MFA(多因素驗證)、定期更換強度較高的密碼、遵循最低權限原則,減少人為風險。
- 每年至少進行 2 次資安訓練與演練:針對釣魚郵件、社交工程詐騙、密碼管理等進行教育訓練,提升員工警覺性。
- 資安 Gamification(遊戲化訓練):透過有趣的資安挑戰賽,讓員工願意參與,提高學習效果,更有效了解資訊安全。
總結來說,當企業面臨資安威脅時,採取適當的防護措施,才能有效降低資安風險。包括:員工資安培訓、定期弱點掃描、惡意軟體掃描、企業導入 ISO 27001 認證、使用多重身份驗證、AI-WAF 網站應用防火牆、SSL 數位憑證加密、S/MIME 電子郵件加密、OSecure 雲端郵件資安服務、利用 CDN(內容傳遞網路)分散流量、啟用 DDoS 防禦服務、網頁掛馬、入侵偵測掃描…等安全措施。
企業資安不能只守內部!遠端辦工 & BYOD 崛起,個人資安如何納入管理?
隨著遠端辦公與 BYOD(自帶設備辦公)逐漸成為後疫情的新工作趨勢,也讓個人資安成為企業資安重要的一環。例如:員工使用未受保護的個人裝置登入公司系統、使用過於簡單或重複的密碼、使用未加密的 Wi-Fi 連接公司 VPN…等,這些都可能讓駭客有機可乘,可能導致企業資料外洩、惡意軟體或病毒等資安攻擊,因此,企業不能只強化內部防護,還應該重要員工的個人資安管理,以免成為企業資安漏洞。
► 延伸閱讀:什麼是遠端工作安全?2025 遠端工作資安防護策略全揭密!
企業如何確保遠端 & BYOD 環境的資安?
01
設備管理
導入 MDM(行動裝置管理),確保 BYOD 設備符合企業資安標準,強制加密與、安裝防毒軟體與系統更新。
02
存取控管
啟用 VPN 與多因素驗證(MFA),確保遠端存取加密且經過身份驗證,降低帳號密碼被盜風險,確保遠端登入的安全。
03
資料防護
部署 DLP(資料防外洩)機制,限制機密資料外傳,防止 USB、Email、雲端檔案共享帶來的外洩風險。
04
員工資安訓練
定期進行釣魚攻擊模擬、密碼安全檢測、個人裝置資安意識提升訓練,降低人為風險。
企業資安防護不能少~立即了解資安服務
隨著數位轉型發展加速,2025 年的資安環境將面臨更多挑戰,例如人工智慧技術帶來的新型態攻擊。因此,資訊安全不再是政府的責任,企業必須加強員工培訓,提高全員對資安意識的提升,企業內部建立全面的資訊安全體系,定期檢查軟體和更新資安策略,以確保符合最新法規要求,並確實落實資安保護,不僅能降低潛在風險,也能提升企業競爭力。
企業若想提升資安防護,並符合資安法要求,應從資安分級制度開始,針對不同等級建立對應的安全機制。遠振資訊提供全方位企業資安解決方案,包括 AI WAF 防火牆、弱點掃描、入侵偵測、惡意軟體掃描、S/MIME 信箱憑證、OSecure 郵件過濾…等,協助企業建立穩固的資安防線。立即聯繫我們,了解遠振資安服務,為企業打造堅不可摧的資訊安全!歡迎來電 4499-343 (手機撥打請加 02)或與線上客服諮詢,我們將為您提供專屬服務。
台灣企業資安風險與應對策略
中小企業資安特別關注事項
- 優先處理關鍵風險:由於資安預算有限,先從低成本的資安工具入門,例如 Cloudflare(DDoS 防禦)、Bitdefender(防毒)、防火牆、備份機制,逐步提升企業的資安保護力。
- 利用外部資安服務:中小企業通常沒有設置專職資安人員,可以考量 SOC(安全運營中心) 監控,降低企業管理成本。
- 簡單實用的員工教育訓練:員工通常不是資安專家,應提供簡單易懂的資安培訓指南,例如如何辨識釣魚郵件、設定高強度密碼等。
- 雲端資安管理:使用雲端服務(如 Google Workspace、Microsoft 365),應確保開啟 MFA 多重驗證及存取控制機制,減少帳戶被盜風險。
- 內外部威脅管理:除了防範駭客攻擊,也應留意內部機密文件加密,建立存取權限控管與資料分類機制,避免資料外洩。
企業整體資安防護重點
- 資安意識提升:企業內部應每季安排資安演練,例如摸擬釣魚信件攻擊,確保員工了解如何應對網路攻擊,並提高警覺。
- 基本資安防護建置:安裝防毒軟體、開啟防火牆、定期更新軟體與系統補丁,降低漏洞風險。
- 數據備份與異地存放:確保關鍵資料有定期自動備份,並存放在其他地方或雲端,以預防勒索病毒攻擊。
- 帳戶權限管理:針對不同職務與職位設置不同存取權限,建議使用最小權限原則,確保員工只能存取必要資料,減少內部資料外洩風險。
- 符合法規要求:政府要求某些行業需符合特定資安標準(如金融、醫療產業),例如 ISO 27001、GDPR、NIST 等資安標準,企業應確保符合法規並降低罰款風險。
- 資安事件應變機制:企業面對不同資安事件應採取不同的應變機制,並需於規定時限內向主管機關通報,例如發生個資外洩後 72 小時內須通報、重大資安事件後 24 小時內須通報。
