做好資訊安全 打造產業永續發展環境

文：徐志明（國立澎湖科技大學博雅學院副教授、全國商業總會環境永續委員會委員）

一、前言

隨著數位資通訊科技的迅速發展，資訊安全，尤其是對於虛擬交易通路的重要性不言可喻。然而，這些虛擬通路也成為駭客攻擊的主要目標。駭客利用多種手段，從破解電腦保護措施到利用系統漏洞，對企業的電腦或資訊設備進行攻擊，目標通常是竊取或破壞企業的客戶資料或其他機密資訊，甚至干擾企業網站的正常運行，業者若不重視資安，未實施相關預防措施，通常都會蒙受巨大損失。

在永續時代，建立企業資安制度，也是ESG要求的項目之一。根據全球報告倡議組織GRI 418標準，企業應揭露其針對保護客戶隱私資料方面的安全作為，包括維護資訊安全（避免客戶資料遺失）和避免侵犯客戶隱私權的風險管理機制。這些措施，旨在確保企業遵循現行法規及自願性準則，並提供企業實施資安對其客戶隱私產生影響的有關資訊。因此，企業資安制度的實施和客戶隱私保護息息相關，其制度有效性更反映企業資安，是否符合ESG永續的相關標準。

在按照ESG要求之前提下，本文旨在探討服務業在面對日益嚴峻的網路安全威脅時，如何建立健全的資安制度，以保護消費者的隱私和個人資料安全，並創造有利於產業永續發展的環境。

二、服務業虛擬交易通路面臨的網路威脅

服務業虛擬交易通路面臨的網路威脅，可概分為傳統的網路攻擊手法、釣魚攻擊及新型態之網路威脅。

首先，在傳統的網路攻擊手法方面，駭客通常通過破解電腦保護措施，例如防毒軟體或網路防火牆，或利用作業系統漏洞，入侵企業的電腦或資訊設備，進行資料竊取、刪除或破壞等活動。他們的攻擊行為，主要針對企業的客戶個資、銀行帳號密碼，或其他機密資訊，有時甚至會直接干擾企業網站的正常運行。

其次，釣魚則是現今最常見的網路攻擊手法。駭客會利用網路使用者對重要資訊的需求，通過新聞訊息或提供其他重要資訊作為誘餌，散布釣魚郵件或連結，或假冒免費應用程式，誘使網路使用者點擊惡意連結或附件。這些攻擊特別針對企業員工的原因，主要在實施植入木馬程式，以達到盜取或損毀企業的機密業務資訊等等目的。

至於新型態之網路威脅，包括疫情期間，企業員工居家辦公成為常態，因家用電腦缺乏企業因應網路環境下，內外部伺服器或主機所全面搭載的網路安全系統、防火牆與防毒軟體的保護，資訊安全面臨更大的挑戰，駭客攻擊的密度隨之增加，據美國的統計，皆特別針對居家工作的員工。其次，國外企業目前面臨的最新型態網路攻擊，已從入侵加密資料庫，轉向資料滲透加密。這類攻擊中，半數以上是通過勒索軟體進行，駭客不僅威脅受害者支付贖金，以解密其受滲透的資料，還可能在加密前，先竊取客戶機敏資料，並以公開資料為要挾。此外，隨著網路資通訊技術的進步，駭客使用更多自動化方法，新型態的惡意軟體數量及攻擊手法也在不斷增加。這些攻擊主要針對伺服器代管服務供應商，以及中小企業的雲端資料庫，對服務業的虛擬交易通路環境，構成了更嚴重的威脅。

三、個人資料保護法對企業保護消費者個人資料安全的要求

現行法對企業保護消費者個人資料安全的要求，主要在《個人資料保護法》（簡稱個資法）對非公務機關的相關規定。個資法第二條規定，個人資料之處理，指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。同法第五條規定，個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。第二十七條規定，非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

又根據個資法施行細則第十二條，個資法所稱適當安全維護措施，指非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。

罰則部分，按個資法第四十八條第二項及第三項，企業違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣二萬元以上二百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處新臺幣十五萬元以上一千五百萬元以下罰鍰；其情節重大者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣十五萬元以上一千五百萬元以下罰鍰，並令其限期改正，屆期未改正者，按次處罰。

四、企業建立資安制度的具體措施

（一） 確立資安政策與目標

企業建立資安制度前，首先應制定明確的資安政策和目標，確保所有員工理解並遵守這些政策，目標包括確保資訊的機密性、完整性及可用性。

（二） 建立內部資安管理組織架構

企業內部可在董事會下成立資安管理委員會，或仿照證交法設置獨立委員會進行運作。董事會應委派資安主管，其權限應屬於副總經理以上層級的高階管理人員，負責協調、指揮、推動及監督公司的資安相關事務。

（三） 資安維護計畫

公司應制定及實施資安維護計畫，且內容應包括下列各項：

1. 企業核心業務及其重要性。

2. 企業內部資安政策及目標。

3. 企業資安推動部門之組織架構。

4. 資安專責人力招募及經費配置。

5. 資通訊系統資源及資訊盤點，標示核心系統及相關資產。

6. 內外部資安風險評估。

7. 資通訊安全防護及控制措施。

8. 資安事件通報、應變及演練機制。

9. 資安情資評估及因應機制。

10. 資通訊系統或服務委外辦理的管制措施。

11. 資通訊安全維護計畫與實施情形及相關績效管理機制。

（四） 資安風險評估

企業應定期進行資安風險評估，識別並分析可能的資安威脅，以制定相對應的風險管控措施，將風險降低至可接受範圍內。

（五） 資安防護措施

企業應實施以下防護措施，保障資訊安全：

1. 存取控制：確保只有經授權人員能夠存取內部資訊和顧客個資檔案。

2. 加密控制：對所有須傳輸及儲存的資訊及檔案進行加密處理。

3. 入侵監測：設置網路及資訊系統入侵監測系統，監控異常登入活動。

4. 更新系統：定期更新系統及應用程式檔案，修補可能存在的資安漏洞。

（六） 資安事件通報及應變機制

企業應由資安管理委員會制定資安事件應變計畫及SOP，確保在發生資安事件時，能夠迅速處理，其應變計畫架構如下：

1. 事件分級：根據事件嚴重程度進行分級。

2. 通報機制：確保事件發生後，能夠在短時間內通報相關部門。

3. 應變措施：制定應變措施，確保資安事件發生後，能夠迅速控制損害並恢復系統運作。

（七） 實施資安教育訓練

企業應定期對所有員工進行資安教育訓練，提升安全意識及應變能力。

（八） 稽核與改進

企業應定期（至少每月）進行資安稽核，檢視資安維護計畫實施情形，對缺失進行改進，確保資安措施有效性。

（九） 廠商管理

企業應對協力廠商進行嚴格的選任及監督，確保其具備完善的資安管理能力，並以契約約束受託廠商資安責任及義務。

（十） 績效及獎懲機制

企業應對於維護資安績效優良的部門及員工予以獎勵，對於違反資安政策的行為予以公告及懲處，建立完善的績效獎懲機制。

此外，企業與消費者間的交易支付資訊，經常是駭客攻擊的目標，因此，交易金流的資訊安全也成為資安系統的重中之重，企業需要特別加強金流的資安風險控制。本文建議其機制之架構如下：

（十一） 金流的資安風險控制機制

1. 確認交易金流的資安威脅

利用前述的企業內部資安風險評估制度，掌握金流可能存在的資安威脅。

2. 相關控制措施

（1） 支付管理：使用第三方支付進行交易，利用多方網路資安管控機制，強化金流資訊安全。

（2） 交易驗證：在交易過程中進行雙重驗證，確保交易的合法及安全性。

（3） 交易監控：監控交易活動，發現資訊異常交易立即阻斷交易。

（4） 交易記錄：完整保存交易軌跡和記錄，便於即時控制與事後審計。

五、結論

服務業面臨的資安挑戰日益嚴峻，企業必須建立健全的資安制度，兼顧政策制定、風險評估、防護措施到應變機制等各方面，以落實保護消費者的資訊安全，才能獲得消費者的信賴與支持，並符合ESG的永續發展要求。