資誠通訊第370期：迎戰資安風險 企業網路安全現況、策略全解析

編輯室報告

網路攻擊手法推陳出新，對企業造成的實質財務損失及品牌商譽衝擊，向來是業界關注的焦點。新冠疫情來襲後，遠距、混合辦公成為新常態，亦帶來新一波資安考驗。如今隨著金管會「公開發行公司建立內部控制制度處理準則」相關規定陸續生效，「你的公司設立資安長（Chief Information Security Officer, CISO）了嗎？」更成為近期許多臺灣企業熱議的話題。

根據金管會規定，國內資本額破百億、市值前50大的上市櫃公司，都須在2022年底前設立資安長和資安專責單位，約有超過110家企業符合此條件。而即使不屬於上述類別，舉凡最近三個年度的稅前純益未有連續虧損，且每股淨值未低於面額者，都須於2023年底前設立資安專責單位，幾乎將所有上市櫃企業納入管轄。

更有甚者，國際標準組織（ISO）也於十月底公告第三版ISO／IEC 27001資安管理制度標準，可見在資安危機來勢洶洶的同時，相關法規要求、認證亦越趨嚴格，企業將資安管理的層級拉高至最高治理階層，已是勢在必行。

有鑑於資安議題日益受到重視，PwC於九月底發布《全球數位信任洞察報告》（Global Digital Trust Insights Survey），針對來自全球65國、超過3,500位企業高階主管進行調查。結果發現，過去三年間，全球有27%的企業因資料外洩蒙受財務損失，且金額介於100萬至2,000萬美元區間，甚至更多。為因應日趨嚴峻的資安威脅，分別有69%、65%的受訪者表示，2022年、2023年將持續加碼網路相關預算。

不過，除了投入預算，企業還需要更多制度面及思維的改變：包括人才技能的提升、專才招募、推動供應鏈遵循一致資安標準等等。台積電於2018年遭遇電腦病毒攻擊事件，導致產線一度停擺後，於2022年初催生出涵蓋電腦作業系統規範、網路安全、端點保護、資訊安全監控等四大面向的半導體資安標準「SEMI E187」便是一例。本期《資誠通訊》除摘錄《全球數位信任洞察報告》的主要發現，亦剖析企業針對網路安全風險採取哪些關鍵行動、策略，以及有哪些環節亟待強化，盼能加速、加深企業對資安領域的認識，即使面對層出不窮的網路安全威脅，也能從容應對。