金管會表示,符合第一級條件的上市櫃公司共有 111 家,應在 2022 年底前設置資安長及「資安專責單位」;該單位必須包含資安專責主管及至少 2 名資安專責人員。 而就時機點來看,此事發布時間看起來也相當適合,畢竟國際企業在設置資安長方面走得更前面,國內對此議題也已談論四、五年,至少讓外界有所準備,而從2020年3月開始至今,國內許多產業景氣回升並更鼎盛,市值成長數倍的公司相當多,在公司獲利支撐下促使企業強化資安治理,資源應會更為餘裕。 但,國內企業或許也要深想的是,如何趁早掌握資安人才,幫助公司越早做好相關規畫。 整體而言,從目前規範來看,主要強調公司應指派綜理資訊安全政策推動及資源調度事務之人,兼任資訊安全長,並沒有要求需獨立設資安長,或許是考量目前市場人力的短缺,以及現在還是在推動建立公司資安治理基礎的階段。
微軟亞洲首席資安官花村実則表示,資安長和資安團隊,會隨著經營者的決策與企業文化,而提升其權限和成熟度,當資安長能以業務和戰略為導向,將能有效抑止企業面臨資安風險。 而日本企業的資安長,也從以往以防禦為導向的「資安長1.0版」:找出資安風險、制定資安計畫、對應資安事件,以及對外的資安報告等,進一步轉變成以攻擊為導向的「資安長2.0版」,主要接觸和業務有關,與事業核心有關,幫助經營者與顧客、市場及股東說明資安投資、預測資安風險,改革並引導企業資安方針。 資安長設置 梶浦敏範指出,對日本企業而言,數位轉型和資安兩者在企業成長中同等重要。
資安長設置: AI應用發威 SAS 台灣持續成長
這個由下而上的設計,先要求金融機構本身(如銀行、證券)要有自己的CERT,再上一層的金控,也要有專屬的CERT,如此就能共享資源,由金控支援體系下較弱的機構。 「資通安全管理法」自2019年1月1日起實施後,由於過去政府機關普遍較不熟悉網路操作及其洐生的資安管理問題,加上行政院也訂定相關資安法的子法,新規定不少,各機關也有不少疑問。 最後,我想再次強調資安是一項風險控管的議題,企業在追求數位轉型之際,如何在可控制的資安風險範圍內,提高生產力與資安營運效率,將是企業資安治理的關鍵要點,也是資安長對企業所有利益關係人(stakeholders)可以提供的價值。
找到屬於自己的平衡 在數位化轉型下,資安很多工作環節都與資訊安全相關,除了處理與其他單位間的工作問題外,還隨時加三不五時出現事件通報,資安長簡直要像超人般的能力,才能應付這些接踵而至的問題與緊急狀況,因此資安長就像英雄電影中,維護地球和平的超人般扮演著保護企業數位世界的安全。 例如,讓合規、有效之間達到平衡,讓單位間,內外衝突化解以求平衡,業務與資安的平衡。 這個平衡,不是齊頭式,全部一視同仁的平衡,因為人的時間、資源有限,不可能兼顧所有事物,所以要按照重要性去妥善分配資源。 例如存取一般資料時,只要有帳號、密碼即可;如果要登入內網,則需搭配Token;如果是更重要,像關於行動支付的應用,還要再加上IP、裝置等進行多因素的認證。
資安長設置: 證券櫃檯買賣中心
這項修正是依照公司規模及營運狀況,分成一、二及三級,符合一定條件者,應指派綜理資訊安全政策推動及資源調度事務之人兼任資安長,並設置資訊安全專責單位、主管及人員,以利進行差異化管理。 資安長設置 櫃買中心指出,資安管控指引全文共十章37條,內容涵括成立資通安全推動組織並訂定資安政策、程序及人員訓練、鑑別重要核心業務及制定持續運作計畫、盤點及發展資通系統並辦理資安風險評估、執行資通安全防護及控制措施、資通安全事件應變通報及持續精進資通安全管理等。 上櫃公司宜衡諸所處產業特性、規模大小及資安風險適度採行,期以建立合宜之資通安全管理機制。
在「資安人力設置」這塊上,政府在 2021年12月28日 正式施行「公開發行公司建立內部控制制度處理準則」,此規定只要符合一定條件者,則需「分別設置資安專責單位、資安專責人員以及資安長」,簡單來說就是「只要公司有賺錢,就要有相對的資安規範與資安長的設置」,藉此降低企業發生重大資安事件的後續影響。 為強化資安管理,金管會公布「公開發行公司建立內部控制制度處理準則」修正草案,依照公司規模及財報表現明定 3 層級資安編制要求,111 家資本額達百億以上,或前一年底屬台灣 50 指數成分的上市櫃公司,須在明年底前設資安長及資安專責單位。 換言之,在2022年3月底,金融業的保險、銀行與證期業者就要遵循法規照辦,接著是2022年底,只要是資本額100億元以上的公司,或是上年底為臺灣50指數成分的公司,或是電子商務與人力銀行業為主的公司,必須要設置資安長以及專責單位。 至於其他上市櫃公司,則要求在2023年底前,必須設置資安專責主管及至少1名資安專責人員,而且,即便是每股淨值低於10元、近三年稅前純益連續虧損的公司,政府也採鼓勵態度,建議至少設置1名資安專責人員。 保險局表示,他們在9月1日已正式發布修正「保險業內部控制及稽核制度實施辦法」,其中第六條之一就有相關規定,指出保險業應設置資訊安全專責單位及主管,而一兆元資產的保險業者,指派副總經理以上或職責相當之人兼任資訊安全長,同時也要設置資安專責單位,並指派協理以上或職責相當之人擔任主管。 為強化資安管理,去年金管會公布「公開發行公司建立內部控制制度處理準則」修正草案,依照公司規模及財報表現明定 3 層級資安編制要求,111 家資本額達百億以上,或前一年底屬台灣 50 指數成分的上市櫃公司,須在今年年底底前設資安長及資安專責單位。
資安長設置: 疫情三年企業轉型加速 企業IT邁向現代化
第一級包含資本額達新台幣 100 億元以上公司;前一年底屬台灣 50 指數成分公司;或者藉電子方式銷售商品、提供服務收入占最近年度營收達 8 成以上,或占最近二年度營收逾 5 成者,例如電子銷售平台、人力銀行等。 經我們洽詢各局之後,目前看來,保險局作業進度最快,他們已修法完成並正式發布施行。 顯然,對於資安長的設立,今年修法適用的金融業者更多,相較之下,去年金管會預計的標準,外界只估計31家金融業者適用這樣的法規。 4.雲端平台對資安的優勢:以雲端平台部署資安解決方案有顯著的優勢。 微軟在5年前即擴大資安相關投資至200億美元,結合人員、流程和技術,透過持續監控數百萬網路活動記錄、安全事件訊息,更新使用者行為分析,即時檢測並統計異常,幫助識別潛在的危害發生。 2.勒索軟體的攻擊升級:全新的勒索軟體模式已擴大成企業型規模,結合攻擊技術和勒索商業模式,人為操作的勒索軟體改變了資安動向,若企業忽視勒索軟體的風險,將面臨組織潰散與營運損失的修復成本。
LaSalle Network 的Wallenberg認為,想要確認安全長人選切合企業需求的話,高階主管團隊應當全員都參與雇用選拔流程。 與職務候選人互動最頻繁的,則是企業營運長與資訊長,他們理當密切參與這場面試選拔。 有某些企業的安全長職銜也用來描述「企業安全」職務的主管,其工作內容包括實體安全與員工、設備與資產的安全保障。 資安長設置2023 從過去的紀錄來看,企業安全與資訊安全一直都由個別(且時有不合)的部門掌控。 「金融資安行動方案」分別從「強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能」等四個面向切入。 台積電(2330)進駐高雄楠梓產業園區設廠,因製程調整而有增加用水需求,經濟部表示,已協同營建署及高雄市政府共同規劃,由周邊具推動潛能的再生水廠,如楠梓、橋頭及園區自建,合計約每日10萬噸規模供應做為長期水源,未來園區將有自來水與再生水2股水源,並透過再生水專管供水確保供水穩定。
資安長設置: 今年9月金融業設置資安長成為法規明訂條文,擴及38家本土銀行之餘,符合條件的保險與證期業也須遵循
他建議衛福部,應在跨醫院資安情資分享與分析的H-ISAC會員章程中,明確規範資安長的角色,以及資安業務的執行、管理和監督單位。 自2019年資安法上路以來,不論是否為關鍵基礎設施,不少醫院管理階層,都多了一批前所未有的新角色,陸續新設置了資安長,來統籌全院資安事宜。 但是,這群臺灣第一批的醫院資安長們,也面臨很大的磨合課題,業務執行上也遭遇不少挑戰。 在衛福部日前舉辦的醫療資安長共識營上,他們紛紛現身,道出第一線醫療資安的甘苦。
為強化資安管理,金管會依公司規模及財報表現明定 3 層級資安編制要求,111 家資本額達百億以上或前一年底屬台灣 50 指數成分的上市櫃公司,必須在明年底前設資安長及資安專責單位。 到了2020年8月6日,金管會新推金融資安行動方案,當中提及資安長設置等議題,對資安專責主管有了更進一步的要求。 這項計畫將推動一定規模金融機構或純網銀,設置副總經理層級的資安長,另外也希望董事會的運作中,能聘請資安背景的董事、顧問,或是設置資安諮詢小組。
資安長設置: 金管會規定上市櫃公司年底應設「資安長」,但資安長的職責與角色目前還很模糊
特別的是,在2021在12月初,最新的臺灣50指數成分股的調整預告中,這次新增一家公司──國內上市PCB大廠欣興電子,並於12月20日開盤後生效。 等於他們才剛納入臺灣50指數,而該公司在此方面的反應相當迅速,他們在12月16日即宣布,董事會通過新設立資訊長暨資安長一職,等於及早因應這項法令的要求。 首先,由於2021年9月時,銀行、保險、證期業者已先受規範,要求指派副總以上層級擔任資安長,成為法規明訂條文,緩衝期限是到2022年3月底。 關於上市櫃公司應配置資訊安全人力的一定條件,金管會已有規範,將採循序漸進方式推動辦理,總共分為三級,實施範圍與時程如上表所示。 去年金管會證期局已開始鼓勵上市櫃公司,加入資通安全情資分享平臺,包括國內各領域ISAC(金融、科技、醫療、能源、通訊、交通),沒有產業限制的TWCERT,以促進上市櫃公司的資安情資分享與聯防。
證期局副局長郭佳君也指出,「證券商」實收資本額達新台幣100億元以上、或電子下單達一定比率的券商(包括:網際網路下單加計電子式專屬線路下單(DMA)成交金額達公司成交金額60%、經紀業務成交金額市占率達全市場2%,且自然人客戶數達公司客戶數50%者)必須設資安長。 根據金管會統計,截至今年第3季止,除了全體銀行外,符合要件的券商有13家、期貨商有2家、投信業有5家、保險業有8家皆已完成設置資安長。 對於目前豬價都持續在高點,杜文珍表示,主要是受到飼料成本提升影響,她表示,豬價必須要讓豬農沒有損失,才會有意願繼續投入生產,並提供國內豬肉合理價格的供應。 38家本國銀行都必須依照新制落實設置資安長,目前銀行業已設立資安長者共計13家銀行,即最晚明年第1季,25家尚未設置資安長的銀行都必須完成設置。
資安長設置: 證券期貨業須設資安長 2022年Q1前完成!
安全長可以來自於先前具有擔任工程師或架構師工作經驗的技術背景,處理的工具與系統包括時下的各種安全性專業項目,像是SIEM、身分識別管理與威脅情報;也可以是來自管理負責這類專科的安全專家,並且個人經常參與管理、風險與法規遵從方面等功能背景。 Wallenberg認為,安全長必須表現出已晉升安全部門位階,或在大型企業裡曾參與安全性專案,與影響應用程式、基礎架構與外部威脅的舉措。 另外還要再加上對業界廠商的人脈經營,以及與情報界及學術界的聯繫能力。 銀行局副局長黃光熙則指出,過去所有銀行業本就要設置資安長,但每家資安長的職務、職稱、組織架構不一樣,此次明訂銀行業應指派「副總經理以上或職責相當之人」兼任資訊安全長,以統籌資安政策推動協調及資源調度,提升其對資安議題之執行能力。 銀行局副局長童政彰今天也宣布「金融控股公司及銀行業內部控制及稽核制度實施辦法」修正草案已完成預告程序,將於近日發布施行。 新制同樣要求銀行業應指派副總經理以上或職責相當人選兼任資安長,並同樣給予業者6個月緩衝期。
同時,汪厚燊公布了更具體的統計資料,目前還有618家上市公司與553家上櫃公司,尚未完整設置專責資安主管及資安人員。 其中,尚未設置資安主管的公司,有上市602家與上櫃546家,尚未設置資安人員的有602家上市與533家上櫃。 企業若屬第二級別,應進行「資安專責單位」的設置,資安專責單位須包含資安專責主管與至少一名資安專責人員,並且應在 2023年底設置完成。 企業若屬第一級別,應進行「資安長」與「資安專責單位」的設置,資安專責單位設置須包含資安專責主管與至少兩名的資安專責人員,並且應在 2022年底設置完成。 資安長設置2023 根據修法內容,到2022年底,就有111家上市櫃公司需要設立資安長,以及資安專責單位,現在距離這個期限只剩下八個月的時間,這些公司就必須設立資安長,這也讓資安長成為年度炙手可熱的高階獵人頭標的。
資安長設置: 上市櫃公司緊箍咒! 亂丟廢棄物加重罰20倍
至於進一步的完整規畫,將留待未來數位發展部成立後的資通安全署提出詳盡解決方案。 例如,當時行政院國家資通安全會報技術服務中心科長詹益璋指出,對於第三方套件出現弱點的修補,組織往往無法掌握是否與目前自身使用的系統有關,而廠商也不一定有能力主動通知,因此建議需設計大型第三方套件清單,並將系統盤點清冊建立關連。 資安長設置2023 臺灣推動個資法與資通安全法已有一段時間,在2022年秉持資安即國安2.0的政策下,資安不只是政府要做的事,也影響國家產業競爭力,並關乎個人資料安全。 以資安納入內部控制而言,這部分在原有內控處理準則中,就包括檔案及設備之安全控制等10項要求,目前則在人員層面新增多項規範。 金管會採取循序漸進的方式推動資安長,先針對上市櫃公司,並且規定應配置資訊安全人力之一定條件,採分級分階段辦理,如表1所示。
- 因此,醫院除了該整合IT與資安,在「資安作業的推動上,一定要有推動IT政策的人來參與!」他強調,唯有兩者合作,才能在第一線落實IT和資安,才不會各做各的。
- 為使內部控制制度能有效及適當地運作,由第一道、第二道防線進行風險監控,第三道防線進行獨立監督,三道防線各司其職。
- 微軟亞洲首席資安官花村実則表示,資安長和資安團隊,會隨著經營者的決策與企業文化,而提升其權限和成熟度,當資安長能以業務和戰略為導向,將能有效抑止企業面臨資安風險。
- 根據金管會統計,第一階段113家符合條件的上市櫃公司中,截至今年第1季有46家、即41%公司設置完成,另59%必須加緊時間設置完畢。
- 另為強化因應網路攻擊之防禦能量,所以,規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE),開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
櫃買中心表示,因應數位時代發展趨勢,資安議題益發重要,為配合金管會公告修正「公開發行公司建立內部控制制度處理準則」第九條之一及第四十七條,提升發行公司對資訊安全之重視,與臺灣證券交易所共同制定「上市上櫃公司資通安全管控指引」(下稱資安管控指引),協助上市、上櫃公司強化資通安全防護及管理機制。 為提升服務事業對資訊安全議題的決策功能,金管會新修正「證券暨期貨市場各服務事業建立內部控制制度處理準則」第36條之2,對於各服務事業應指派副總經理以上或職責相當之人兼任資訊安全長一事,並在適用對象上,分別對券商、期貨商與投顧業制定出不同要求。 金管會證期會表示,自5月27日預告修正草案後,在9月7日說明已完成法規預告,預計最近幾天就會發布並施行。 蔡麗玲提醒,上市(櫃)公司應適當評估所面臨的資訊安全風險及需求,儘早規劃安排需投入之設備資源及配置資訊安全專責人力,如有調整內部組織架構或人員職務的必要者,應配合修訂相關內部控制制度並提報董事會通過後實施,必須在期限內符合法令要求完成資安人力設置,提升公司資安防護能力。
資安長設置: 服務
回憶起選擇數位轉型合作夥伴的關鍵時刻,楊超群強調,瀚荃非常願意嘗試新概念與新系統,遠傳則提供了 One Stop Solution(一站式解決方案),遠傳顧問團隊在產品多元性、網路穩定性與異地備援、服務效率、互動溝通等面向都讓瀚荃滿意。 汪厚燊表示,截至今年3月7日為止,以第一級公司而言,102家上市公司中有91家加入,比例達近9成,13家上櫃公司有10家加入,比例達7成6。 換言之,儘管國內還沒有將這些方面訂為評鑑項目內容,但企業也可從國際發展態勢作為借鑑,視為增加公司資安治理的要項。
安全長 (chief security officer, CSO) 這個職銜,最初主要是在資訊技術部門裡,被指定負責IT資訊安全的主管。 而用資訊安全長 (Chief information security officer, CISO) 或許更能精確描述這個職位,但時下資安長職稱變得較常指向專注在電腦資訊安全的主管。 不過這兩個職位之間的區別,不見得立即就能一目瞭然,稍後會有更詳細的介紹。 金管會三月時宣布金融業委外辦法大鬆綁,原本預計九月放行,提前至八月即可上...
