在資訊發達的網路時代,資安事件頻繁發生,政府和企業越來越重視資安管理,因為資安的漏洞可能會給企業與各組織帶重大損失。
資訊安全是什麼?會有什麼風險?
資訊安全是保護政府、組織、企業、個人等機密資訊,避免相關資訊系統在未經授權的情況下被使用、披露、破壞、修改、檢視、記錄及銷毀等,而對這些資料進行保護、授權、維持機密性,確保系統、資料等完整與可用性之技術即稱為資訊安全。
現在絕大部分的資訊都被收集、產生、儲存在電腦、雲端等,這些都有機率通過網路傳給競爭對手或不知名人士利用,當系統或網站遭受攻擊後,還可能導致企業網站失效、資料洩漏,導致企業形象、經濟受損、客戶信任度降低等危機與風險,為此企業必須關注資安,加強資安管理,減少或預防資安事件發生。
除了以上所提到的風險,還有兩點需要注意,首先是法規的部分,政府要求企業必須保護客戶隱私,防止資料洩漏,如個人資料保護法,否則可能面臨巨額罰款、信譽下降等相關風險;第二點是員工,培養加強員工對資訊安全意識與重要性,讓員工不會因為不清楚的情況下,無意間或疏忽引發資安事故,尤其是2023年生成式AI應用Chat GPT的爆火,後續衍生更多AI相關軟體,可能會有更多以假亂真的電子郵件、影片、程式產生,網路攻擊變得更多樣化,加大了資安的危險。
先前【「重大性」標準發布,金管會敲醒資安警示鐘】一文中有提到近年來的資安事故增加且產業廣泛,此外在中小企業資安事故狀況也明顯上升。然而在思科《2024資安準備度指數》報告中卻顯示僅有8%台灣企業已做好抵禦現今網路威脅的準備(即處於成熟期),而將近三分之二(72%)企業的準備程度處於初始期與形成期,表示現階段許多企業對於資訊安全意識偏低,需要提升與強化企業組織的資訊安全意識、政策與管理。
資訊安全3大關鍵要素
要提高資訊安全意識,就需要先認識其3大關鍵要素。主要是在維護、保護資訊,而關鍵要素即是機密性、完整性、可用性,只要有一方有問題,都會降低資安防護,潛在風險就會上升。
-
機密性 (Confidentiality):是指確保資訊僅對授權的人員、系統可取用,確保資訊不會被未經授權的人員、系統等非法獲取、竊取或洩露。
-
完整性 (Integrity):是指確保資訊在傳輸或處理過程中保持正確和完整,防止未經授權的更動修改而導致資訊錯誤或損壞。
-
可用性 (Availability):是指確保資訊和資源在需要時可被存取或操作。這意味著系統和資訊應該保持運行狀態,不受任何因素的影響而停止或中斷使用。
在瞬息萬變的網路時代,資安事故接踵而至,已變成企業必須應對的課題之一,也是攸關企業運營影響的要素之一,目前國際上最有名的資訊安全管理系統認證即是ISO 27001。
導入ISO 27001:2022勢在必行
ISO27001是利用的PDCA循環概念進行資訊安全管理,正所謂「魔鬼藏在細節裡」透過PDCA4個階段,在各種資安漏洞中發現貓膩,來持續改進系統,隨時準備應對瞬息萬變的狀況,降低資訊安全風險。
取得ISO 27001認證是建立資訊安全管理系統的第一步,透過其中的PDCA模式,可以建立有效的資安管理的週期與風險控管。ISO 27001除了基本規範滿足國內外的標準,還可以依照產業與業務的不同進行客製化。
(同場加映:PDCA大解密:核心精神,成就企業!)
ISO 27001:2022您改版了沒?
先前已取得ISO 27001:2013認證的企業與組織需要注意了!或是考慮申請的企業也一起注意囉!在2022年新版ISO 27001已經發布,根據現代技術與資訊科技的發展進行調整,新版標準在涵蓋廣度將增加資訊安全、網路安全與隱私的保護,以更符合現代的資安管理需求。透過管控類型的聚焦取代堆疊式的規範,進而強化企業在資訊安全管控上的有效性。
(了解2022改版資訊:ISO 27001標準改版即將公開-國際資安管理標準懶人包)
從今年(2024年)5月1日起必須使用最新2022年版本進行稽核,目前證書為2013年的企業,不管是否於2025年到期,皆需要在2025年10月24日前完成轉版。
ISO 27001輔導就找競爭力企管 — 輔導流程
競爭力企管擁有ISO認證輔導的豐富經驗,以及專文詳細說明ISO標準、企業管理與時事新知等文章分享,讓經驗豐富的專業顧問師一對一線上諮詢為您服務,無論是ISO標準認證、ESG企業永續報告書相關問題、企業管理與教育訓練課程,都歡迎您預約服務!
參考資料:bsi、資安人、鼎新資安團隊、iThome、UPAS、科技大觀園
相關文章:
競爭力企業管理顧問公司
|全台免付費專線:0800-800 248
|北區:02-2243 1201
|中區:04-2473 9012
|南區:07-380 3113
|填寫表單:點此連結
|LINE 線上諮詢:@why4800g
在資訊發達的網路時代,資安事件頻繁發生,政府和企業越來越重視資安管理,因為資安的漏洞可能會給企業與各組織帶重大損失。
資訊安全是什麼?會有什麼風險?
資訊安全是保護政府、組織、企業、個人等機密資訊,避免相關資訊系統在未經授權的情況下被使用、披露、破壞、修改、檢視、記錄及銷毀等,而對這些資料進行保護、授權、維持機密性,確保系統、資料等完整與可用性之技術即稱為資訊安全。
現在絕大部分的資訊都被收集、產生、儲存在電腦、雲端等,這些都有機率通過網路傳給競爭對手或不知名人士利用,當系統或網站遭受攻擊後,還可能導致企業網站失效、資料洩漏,導致企業形象、經濟受損、客戶信任度降低等危機與風險,為此企業必須關注資安,加強資安管理,減少或預防資安事件發生。
除了以上所提到的風險,還有兩點需要注意,首先是法規的部分,政府要求企業必須保護客戶隱私,防止資料洩漏,如個人資料保護法,否則可能面臨巨額罰款、信譽下降等相關風險;第二點是員工,培養加強員工對資訊安全意識與重要性,讓員工不會因為不清楚的情況下,無意間或疏忽引發資安事故,尤其是2023年生成式AI應用Chat GPT的爆火,後續衍生更多AI相關軟體,可能會有更多以假亂真的電子郵件、影片、程式產生,網路攻擊變得更多樣化,加大了資安的危險。
先前【「重大性」標準發布,金管會敲醒資安警示鐘】一文中有提到近年來的資安事故增加且產業廣泛,此外在中小企業資安事故狀況也明顯上升。然而在思科《2024資安準備度指數》報告中卻顯示僅有8%台灣企業已做好抵禦現今網路威脅的準備(即處於成熟期),而將近三分之二(72%)企業的準備程度處於初始期與形成期,表示現階段許多企業對於資訊安全意識偏低,需要提升與強化企業組織的資訊安全意識、政策與管理。
資訊安全3大關鍵要素
要提高資訊安全意識,就需要先認識其3大關鍵要素。主要是在維護、保護資訊,而關鍵要素即是機密性、完整性、可用性,只要有一方有問題,都會降低資安防護,潛在風險就會上升。
-
機密性 (Confidentiality):是指確保資訊僅對授權的人員、系統可取用,確保資訊不會被未經授權的人員、系統等非法獲取、竊取或洩露。
-
完整性 (Integrity):是指確保資訊在傳輸或處理過程中保持正確和完整,防止未經授權的更動修改而導致資訊錯誤或損壞。
-
可用性 (Availability):是指確保資訊和資源在需要時可被存取或操作。這意味著系統和資訊應該保持運行狀態,不受任何因素的影響而停止或中斷使用。
在瞬息萬變的網路時代,資安事故接踵而至,已變成企業必須應對的課題之一,也是攸關企業運營影響的要素之一,目前國際上最有名的資訊安全管理系統認證即是ISO 27001。
導入ISO 27001:2022勢在必行
ISO27001是利用的PDCA循環概念進行資訊安全管理,正所謂「魔鬼藏在細節裡」透過PDCA4個階段,在各種資安漏洞中發現貓膩,來持續改進系統,隨時準備應對瞬息萬變的狀況,降低資訊安全風險。
取得ISO 27001認證是建立資訊安全管理系統的第一步,透過其中的PDCA模式,可以建立有效的資安管理的週期與風險控管。ISO 27001除了基本規範滿足國內外的標準,還可以依照產業與業務的不同進行客製化。
(同場加映:PDCA大解密:核心精神,成就企業!)
ISO 27001:2022您改版了沒?
先前已取得ISO 27001:2013認證的企業與組織需要注意了!或是考慮申請的企業也一起注意囉!在2022年新版ISO 27001已經發布,根據現代技術與資訊科技的發展進行調整,新版標準在涵蓋廣度將增加資訊安全、網路安全與隱私的保護,以更符合現代的資安管理需求。透過管控類型的聚焦取代堆疊式的規範,進而強化企業在資訊安全管控上的有效性。
(了解2022改版資訊:ISO 27001標準改版即將公開-國際資安管理標準懶人包)
從今年(2024年)5月1日起必須使用最新2022年版本進行稽核,目前證書為2013年的企業,不管是否於2025年到期,皆需要在2025年10月24日前完成轉版。
ISO 27001輔導就找競爭力企管 — 輔導流程
競爭力企管擁有ISO認證輔導的豐富經驗,以及專文詳細說明ISO標準、企業管理與時事新知等文章分享,讓經驗豐富的專業顧問師一對一線上諮詢為您服務,無論是ISO標準認證、ESG企業永續報告書相關問題、企業管理與教育訓練課程,都歡迎您預約服務!
參考資料:bsi、資安人、鼎新資安團隊、iThome、UPAS、科技大觀園
相關文章:
競爭力企業管理顧問公司
|全台免付費專線:0800-800 248
|北區:02-2243 1201
|中區:04-2473 9012
|南區:07-380 3113
|填寫表單:點此連結
|LINE 線上諮詢:@why4800g
