《有關資訊安全之違法事項:》
(八)該公司僅就「高」以上風險等級系統弱點評估是否有修補必要,對其他風險等級弱點則未有相關控管機制,核有礙健全經營之虞。
(九)該公司現行對含個資之電子郵件外寄管理有疏漏之情事,核有礙健全經營之虞。
(十)該公司尚未對電子商務服務系統之外部網路入侵及非法或異常使用行為所致之個資外洩情境,研擬演練計畫進行演練及檢討改善,核與個人資料保護法第27條第3項授權訂定之「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」第10條第3項規定不符。
《筆者分析》:
該案件有兩點說明,
(1) 通常資安事件依層級分類後,公司大部分會把高風險事項,設定為優先解決的項目,因此,中低風險的資安事件,會容易忽視其重要性,針對這個議題,筆者相信一定會有很多不同看法,有的會認為如果忽略中低風險,以後變成高風險,到時處理就來不及了;有的會認為,中低風險內容有的根本無法修補,如果都在中低風險打轉,根本是浪費時間再做白工。以上觀點都有其立場,不過,筆者認為,不管中低風險如何,資訊人員一定要列入列管
項目,人是很容易建忘的,如果沒有紀錄下來,並定期檢視,很快就會忘光光的,之後,如果因為程式更新而修補了漏洞,或者突然發生資安問題,假設不列管,再加上人事更迭的情況下,後面的繼任者,更無法得知這些問題的存在,如此,是否又產生更多問題呢? 因此,中低風險層級的資安缺失,重點應放在列管與定期審視
,有缺失就缺失,告知進度,說明理由,切勿因為考績問題,而一直掩蓋問題,企業也應該轉換心態,無法改善的問題,在了解之後,只要有列管,就應該適時調整考績制度。
(2) 有關演練事項,網路上目前蒐尋都有很多版本,筆者提供法務部的演練法源及附件,大家有時間可以了解一下,這沒有絕對的,但是可以看看,從2019年以來,一直有提到的演練計畫到底怎麼做,這也是常出現的資安違法事項之一,法務部的版本絕對是嚴謹的版本之一,值得提供給大家參考。
法務部資通安全處理小組資安通報演練計畫所有條文:http://www.rootlaw.com.tw/LawArticle.aspx?LawID=A040090051015600-0980731
附件下載:
http://www.rootlaw.com.tw/LawContent.aspx?LawID=A040090051015600-0980731
該案件裁罰罰金110萬,不包含資安違法事項(八)~(十),本案資安裁罰僅為糾正或限期改善。