未評估防火牆&核心系統,即遭罰60萬。明年起,企業須揭露資安作為
最近有兩則重要的資安新聞,值得大家重視
首先第一則:
資訊系統建置違規 金管會處分全球人壽罰鍰60萬元
文中提及全球人壽全球人壽辦理資訊系統整合專案及資訊安全相關業務,有四點違反法規之處:
- 經營團隊對董事會審核相關預算追加時,有不利於董事會控管情事。
- 防火牆管理作業上有未評估妥適性、不利於公司網路安全狀況。
- 未評估新核心系統使用可能的風險,不利於公司核心系統資訊安全控管。
- 辦理弱點檢視作業對安裝有安全疑慮的軟體,未建立定期檢視及控管機制。
其中三點直接指出該公司的資安作為的不恰當,未評估防火牆管理、未評估新核心系統使用的風險、未控管有安全疑慮的軟體。
這三點正好是資安思維的大忌。
未評估防火牆管理妥適性→使用前沒有評估,如何評估是否適用及安全,未來人員該如何管理。
未評估新核心系統使用的風險→沒有評估風險,那未來當核心系統出事如何有應變措施?一但核心系統出事,企業營運會受到多少影響?
未控管有安全疑慮的軟體→軟體有安全疑慮,企業要如何應變?
第二則新聞:
指標企業資安作法明年得公開了
證期局(金融監督管理委員會證券期貨局)在10月5日發布了一則條文修正預告,要求公開發行公司的年報,未來要新增一項重要資訊,就是企業資通訊安全的政策、具體管理方案,還有投入了多少資源來推動。
具體來說
未來上市上櫃的企業要在年報中公開該企業的資安政策、具體管理方案、資安投資等,包含投入的投資、人力配置或資安設備。
這是針對上市上櫃的企業的規範,影響層面絕不止於上市上櫃的企業。像是之前美國蘋果公司提出碳中和政策,不止供應商受到影響,供應商的供應商也同樣受到影響。
同樣的,這些上市上櫃公司一定會跟外面的廠商合作,屆時一定勢必會以同樣要求來要求廠商。可謂是牽一髮動全身。
