《原文注釋》:「兩大之間,敵脅以從,我假以勢。困,有言不信。」
《原文解析》:
(1) 兩大之間,敵脅以從,我假以勢:處在我與敵兩個大國之中的小國,敵方若脅迫小國屈從于他時,我則要借機去援救,造成一種有利的軍事態勢。
(2) 困,有言不信:語出《易經•困》卦。困,卦名。本紛為異卦相疊(坎下兌上),上卦為兌為澤,為陰;下卦為坎為水,為陽。卦象表明,本該容納于澤中的水,離開澤而向下滲透,以致澤無水而受困,水離開澤流散無歸也自困,故卦名為「困」。
此計運用此卦理,是說處在兩個大國中的小國,面臨著受人脅迫的境地時,我若說援救他,他在困頓中會不相信嗎?
《出處》:
春秋時代,虞國內亂,虢公率兵平息虞國內亂,虞、虢國成為兄弟城邦,這時,晉獻公以美玉、良馬、美女利誘虞公,虞公因此借道給晉國,晉國率領大兵攻佔虢國後,虢國滅國,晉國便又占領虞國,虞國沒了救援,也亡滅了。就是趁小國有危難的時候,藉著救援之名而加以併吞。
《資安戰運用實例》:
古諺有云:輔車相依、唇亡齒寒,在現今企業或組織多透過技術手段保護個資或資訊資產之趨勢下,對營運或業務面來說,倘個資或資安保護不佳,另一項之管理也會有極高風險,故兩者是一樣重要的。
但個資、資安因適用法規不同,在法律責任上將有所差異。舉例而言,若違反個資法,不論公務、非公務機關或行為人,可能會負有行政、刑事或民事責任;而資安方面可能會涉及金融法規或內稽內控等規定。
原文請參考:
《科技報橘--從法律看科技:「個資」外洩與「資安」竟然沒關係?》:https://buzzorange.com/techorange/2017/12/20/different-between-pi-and-is/
《企業實務上,筆者觀點》
面對資通安全管理辦法及個資法的實施,兩大重要議題之下,我們該如何跟上腳步?
就個資法的部分,筆者翻閱很多個資法的報導,總結了一下結論,其實這個結論也沒甚麼特別,就是用價格來衡量一下你的個資,簡單說,就是…你的個資到底值多少錢?
就統計結果來說,在台灣可能值不到台幣300元,美國也是只值台幣600元。這些都是過往的一些新聞媒體所報導的,實際上,我們從過去大補帖來估算,你我的個資可能只值30元不到。
2018年下半年開始GDPR(一般資料保護規範)生效,很多企業就開始注意歐盟這個個資法,台灣的四大會計師事務所,也有針對GDPR的業務推廣,做一系列的講座,筆者的朋友也提供相關簡報給筆者參考,當然,如果公司的業務有跟歐盟的國家往來,那麼GDPR的部分就一定要重視,只不過,就筆者在看一些公司的相關內控時,有很多公司其實還是沒警覺這個罰款的嚴重性,雙方還是行禮如儀,一切照舊。
以下為引用《數位時代--沒有人是局外人!史上最嚴個資法衝擊全球,帶你搞懂什麼是GDPR》的一張圖表:
另外一個部分,就是資安險的部分,筆者從年初就開始詢問一些同業的友人,大家普遍都不知道有資安險這種東西的存在,所以大部分保險公司業績也沒太好,以下是筆者從工商時報節錄一張2017年資安險的種類給讀者參考:
筆者目前比較想觀察的是,目前在行政院推行的資通安全維護計畫之後,這種保單是否政府單位也要跟著買單,以及之後推行狀況如何?畢竟政府都開始要求資安防護了,這類保單是否也會跟著水漲船高,這也是未來企業風險評估的一個重要項目,值得大家拭目以待。
以下為引用工商時報之報導:
【工商時報 彭禎伶/台北報導】2017.07.17
資安險叫好不叫座,產險業者表示,擔心自家網路被駭、客戶資料外洩,不少網路平台業者、客戶個資多的商家都曾探詢資安險的價格,但真正投保者卻極少數,且推出至今,國內產險業者的資安險也甚少理賠,甚至有公司完全無理賠紀錄。
資安險有三大不理賠,一是無法證明是直接損失不理賠;二是遭政府罰款不理賠;三是系統出問題後要升級防護的費用也不在理賠範圍內,且一般遭到駭客勒索或個戶資料外洩的損失也都採「限額」理賠,理賠額度不高,因此金融機構目前沒有人投保資安險。
三種資安險中,「電子及電腦犯罪險」即是承保有人惡意入侵系統,竄改或銷毀電子資料的相關財物損失,即要有犯罪行為才理賠,目前國內僅台灣產物一家推出;最多公司推出的是「資料保護責任險」,如富邦產、國泰世紀產、南山產、新安東京海上、明台產、美國國際都有此商品,主要承保資料外洩的損失,包括人為或疏失,甚至連外包廠商若將客戶資料流出的損失,及危機處理費用、調查費、訴訟費等都涵蓋。
產險業者表示,承保範圍最大的是第三種即「資訊安全防護險」,目前有和泰產(原蘇黎世產險)、美國國際、安達產物推出,多是外商集團背景,承保外部入侵、犯罪行為及內部管理疏失造成的任何資料外洩、系統重置等費用,主要是國外企業投保資安險比重逐年升高,國外對隱私權極看重,且舉證損失的責任未必在消費者,國外法院甚至會裁定企業必須理賠資料外洩造成客戶的精神損失,因此企業對投保資安險有較高的需求。
在台灣,若資料外洩,客戶要求償,必須證明資料是從哪家企業外洩,且因為這項外洩造成實際損失,例如證明該企業有員工將客戶資料賣給某詐騙集團,且有客戶因此被詐騙上百萬元,法律裁定企業有賠償責任,保單就會理賠,但一般證明上有困難,而所謂被電話騷擾的精神損失等則較難證明。
另外如券商被駭客入侵,造成系統當機、客戶無法下單,要求理賠未能完成交易的損失,這部分算是「間接損失」,且無法證明客戶買賣股票一定會獲利,保單恐難理賠;第三是金融機構若個資外洩,被金管會重罰,保單也不會理賠罰金,加上金融機構認為其資安系統多屬封閉及安全性較高,投保資安險意願因而不高。