短期目標資安協處推廣、長期目標建立協防保障機制
| 持續深耕 | TWCERT/CC為橋接國內外資安事件的橋樑、對內業務包含民間資安事件通報與資安意識養成宣導,提供服務的對象涵蓋範圍廣,從政府單位、企業、民眾都會有資安相關需求。 |
| 教育推廣 | 從大眾到分眾,除了原有的情資整合分享、資安出版物與通報協處服務外,透過更淺顯易懂的影片、懶人包圖解等形式加強社群擴散效應,落實資安教育。 |
| 協處媒合 | 民間企業的資安外包已為常態需求,除了提供資安公司媒合與推薦,為不同產業和需求給予委外服務的產業標準或準則作為參考。 |
| 協防機制 | 設定訂閱協防服務的會員機制,讓公司企業免費或付少許的費用先加入聯防體系,未來有資安事件發生後,就可以申請協防資金和服務來協助處理,同時有利於整合中小企業的需求和資安公司協商發展規模經濟,協助降低費用並活絡市場。 |
持續提供資安諮詢與情資分享,由淺入深找到服務需求
資安諮詢需求度超過半數,但實際互動率只有一成五,而情資分享同樣有將近四成的需求和認知,但實際互動僅一成TWCERT/CC知曉度為83.0%,包含有32.9%曾經與TWCERT/CC互動過,50.1%知道和未曾互動過,而未曾互動的原因包含沒有需求、不知道怎麼聯繫、不熟悉他們的服務等。
「通報應變」的服務需求度最高、同時也是服務認知度最高,且互動最多的,顯示其通報應變的服務項目符合企業所需並有高互動率。在訪談分析中發現,受訪者對於TWCERT/CC是聽過、知道,但不一定熟悉,在互動項目中也不一定是實際通報應變的接觸窗口。
資安諮詢需求度超過半數,但實際互動率只有一成五,而情資分享同樣有將近四成的需求和認知,但實際互動僅一成。
n=529
資料來源:本研究調查 (2020)
需求達成率及互動轉換率研討會達五成。
| 項目 | 需求達成率(C/A) | 互動轉換率(C/B) |
|---|---|---|
| 通報應變 | 39.9% | 38.2% |
| 資安諮詢 | 28.6% | 36.7% |
| 事件協處 | 29.9% | 33.9% |
| 情資整合 | 29.9% | 30.0% |
| 情資分享 | 27.6% | 27.8% |
| 研討會 | 50.8% | 51.4% |
n=265
資料來源:本研究調查 (2020)
從員工資安素養至全國性的資安教育,提供多元教育方式
企業資安規畫態度中對於員工培訓、定期教學和資訊更新優先度也最高,如收斂分析訪談的受訪者所說:資安是常識,說明了在網路環境一日千里的變遷之下,過去資安可能是資訊、知識,現在卻應該是人人皆具備的常識。
內部資安優先項目
人員
員工培訓、定期教學、資訊更新
硬體
使用資安相關硬體設備與防範措施
軟體
使用資安相關軟體設備與防範措施
n=529
資料來源:本研究調查 (2020)
企業積極提升員工資安素養
除了定期的教育訓練、講座分享外,有企業甚至不定期用釣魚信件抽查員工是否落實資安警覺,並將資安意識納入考績審核中。
針對user他是每年需要上幾個小時的課程都要去上,但上了我們公司釣魚信還是會釣到,被釣到以後會有處罰,還要上資安課程,扣考績影響工作獎金。
按需求提供多元資安教育訓練
對於住宿餐飲業來說,基層或是第一線服務人員就會直接面對消費者個資,他們更強調對基層人員的教育訓練。此外除了直接進行教育訓練、開發好分享推廣的教育形式也有助於企業內部對員工資安素養提升。
會出資安問題是IT人員,因為IT的權限最大,他如果觀念不清楚的話他本身就是一個漏洞,他們還可以去教育其他單位沒有觀念的同仁,如果叫主管去,他不會傳承下去。
最近的災情通報,沒有研究這塊根本不會去看,既然是我們服務,可能有推播功能,可能是個信箱或甚麼,類似動畫或實際影片不要單純一個文章,大家很容易不想看。
資安認證取得顯示對資安程序的重視
無論公司資訊管理系統是否外包,公司系統獲得認證標章的比率皆超過四成,顯示即使是否有外包分散管理風險,企業普遍還是重視資安管理的標準程序。
半數企業面臨資安風險,需了解需求並建立產業準則
84.1%
資訊系統有連網
n=629
64.8%
資訊系統有外包
n=529
84.1%
資訊系統有存取個資
n=529
58.3%
委外IT資安維護作業
n=343
資料來源:本研究調查 (2020)
各產業皆面臨資安風險
57%企業有資訊系統,且連網率與有存取個資比率皆超過八成。產業中佔比最高者為金融及保險業、資訊及通訊傳播業、電力及燃氣供應業及製造業,前四名產業都有超過七成的比率有資訊管理系統,不似前三名產業已有各主管機關資安檢核,製造業目前是產業中資安風險最高者,住餐業有資訊系統也高於產業平均。
委外情況普遍需求差異大,卻無產業準則可參考
大型企業雖然技術人力多、資源也豐富,但因為其面臨風險高,也更具備篩選委外廠商的能力,因此為求減輕人力負擔、分散風險,採購或訂閱專業資安軟體反而是更好的作法。相對來說中小型企業資源少,委外無準則可參考,可能面臨不知道如何挑選廠商、擔憂被過度收費或無法負擔、有資安漏洞時沒有經費可處理。
產業準則推動建議
這個準則應該是易於理解且符合全球化標準的資訊安全系統規範,並且相較於ISO 27001標準來得簡化、有利於中小企業取得,並能與歐盟或美國安全標準對等,能夠讓國內企業的業務推廣在全球市場增加資安競爭力,創造「台灣製造」的正向資安能力肯定。
| 要求企業完成產業資安準則的導入 | 隨著補貼稅金或是計畫鼓勵等的方式,讓國內企業都能合乎這個產業資安準則的規定。 |
| 針對不同規模的企業強調不同的配套措施 | 對於大型企業來說,資安的產業準則應包括了包含法律效力的通報處理流程;對中型企業則表示獲得政府認證,小型企業可以由基本的服務提供。 |
| 提供企業自我評比量表 | 尤其是對於中小型企業提供簡單的問卷評估工具,讓他們可以進行自我評估,了解企業中資安的能力與需求。 |
列入資安法律素養,明確的協防服務計畫
資安相關的法律規範持續演進,企業端也需要更快速跟進法律知識,持續提升資安能力和健全網路社會功能,因此資安相關法律的也會是資安素養的一環。讓企業實際理解法律的範圍框架,進而督促內部響應,另一方面也是將企業現況回饋給立法單位組織,讓立法單位也能了解法律對商業發展的助力和阻力為何,達到雙贏狀態。
因應民間企業的資安外包需求,除了提供資安公司媒合與推薦外,更能從預防角度切入,由TWCERT/CC設定協防服務的機制,讓公司企業免費或付少許的費用先加入聯防體系,未來有資安事件發生後,就可以挪用協防的資金和服務來協助處理,也能使TWCERT/CC藉此提供更完善的服務外、也能更了解每個企業的需求,養成企業主動通報的互動習慣。