金管會口中的「資安」是什麼?

閱讀時間約 4 分鐘

金管會於2021年底預告修正「公開發行公司建立內部控制制度處理準則」,要求資本額100億元以上、市值前50大之上市公司(臺灣50指數成分公司),以及上市櫃之電商、電子平台業者,應於2022年底設置資安長及資安專責單位,而其餘近三年未有連續虧損之上市櫃公司應於2023年底設置完成。

金管會並未在處理準則中訂定具體實施的辦法或標準,而是採用行業自律規範的方式落實。受規範的企業大多都能先在公司內部組織中增設資安長及資安人員職務,並由資訊部門人員調任或兼任。

台泥、欣興電子都增設!資安長是什麼?跟資訊長不一樣在哪?|數位時代 BusinessNext

然而,多數企業對於資安的核心意義仍然不是很清楚,職能也侷限於技術方面,由資訊或IT部門人員擔任也就不令人意外。

但資安的真正含義到底為何?報章媒體談到資安,有時會提到個資問題,似乎又與技術無關。資安與個資的連結為何?

何謂資訊安全?

前面提到,金管會並沒有直接針對資安長與資安專責人員的資格或職能做出具體規範;縱使有行業自律規範,金管會要如何判斷該自律規範是否適當?或許可以參考國家資通安全研究院所提出的框架。(國家資通安全研究院是依「國家資通安全研究院設置條例」設立的行政法人,由數位發展部監督。)

國家資通安全研究院參考美國NICE框架及歐盟ECSF框架,於今年8月提出台灣的資安職能基準,定義出「12+7」種人才類別。

圖片來源:https://www.ithome.com.tw/news/158498

圖片來源:https://www.ithome.com.tw/news/158498

從上面的人才類別就可以看出,所謂資安,除了技術方面,還應該包含監管與治理方面的法令遵循和稽核。其中,資安法遵師的職能就包含「個資法」。

資安與個資的關聯性

根據教育部重編國語辭典修訂本的定義,「資訊」有兩種意義:

  1. 電腦上指對使用者有用之資料和訊息的總稱。如:「資訊業」、「電腦資訊」。
  2. 泛指一般資料和訊息。如:「生活資訊」、「唱片資訊」。

資安若是採第一種定義,則泛指各種跟電腦有關的資料的安全;若採第二種定義,則不限於與電腦有關,也就是說,涵蓋各種資料與訊息,無論線上或線下、電子或書面、個人或非個人。

金管會修正的公開發行公司建立內部控制制度處理準則第9條,條文提及「使用電腦化資訊系統」,顯見金管會的真意應該是指「第一種」定義下的資訊安全。

然而,再看看個資法。個資法第2條規定,所謂個人資料,指得以直接或間接方式識別該個人之資料,包含姓名、生日、身分證字號、指紋、婚姻、職業、病歷、前科、聯絡方式、財務情況等等。個資法並未限制必須是以電腦系統存儲或處理的資料,因此個資法的資料,應該是採用第二種定義。

綜合上述定義分析可以知道,兩部法規的「資訊」定義並不相同,基本上可以理解為下圖的結構,交集部分為電子形式的個人資料。

圖片來源:作者自繪

圖片來源:作者自繪

因此,參考國家資通安全研究院所提出的框架,金管會口中的資安,除了電腦或網路攻擊防禦的技術,也包含遵循個資法。

金管會應該著力於資安法遵與稽核

由上面的人才類別框架可以發現,除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師和資安稽核師。我甚至認為,多數企業對於資安法遵與稽核的需求,高於資安技術。電腦與網路攻擊手法日新月異,企業要自行培養資安技術人才進行防禦,不僅成本高,也無法100%確保攻擊事件不發生。因此企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。

金管會長期作為金融監管機關,對於金融法令遵循、稽核、內部控制方面已有相當經驗。一旦應遵守的法令、檢查的標準明確,企業便有具體的目標,即使不能100%防範資安威脅,也能控制企業的風險、責任與損失。

目前並沒有個資法的相關證照或資格認證,未來金管會若要完善上市櫃公司的資安,個資法的相關認證制度必須建立。此外,參考行政院國家資通安全會報技術服務中心所編纂的「資通安全法規彙編」,除了個資法,相關的法規還包含資通安全管理法通訊保障及監察法電子簽章法電子支付機構管理條例金融科技發展與創新實驗條例電信法電信管理法營業秘密法刑法公司法證券交易法等。有跨國貿易之企業,對歐盟法令如GDPRThe EU Cybersecurity Act等,亦應有所了解。

完成資訊安全的拼圖

資安法遵應該是各企業未來不可或缺的一塊,期待法律與商管人才能一同為資安盡一份心力。

avatar-img
38會員
52內容數
正在就讀法律系的你,一定耳聞過司律考試,甚至已經下場考過。我有幸從考海中上岸,希望透過我的經驗,幫助正在迷惘、焦急、或是洩氣的你/妳。專題內容包含是否要參加考試、如何準備考試、面授與函授的優缺點比較等等,幫助你/妳找到最適合自己的解方。
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
GYB的沙龍 的其他內容
隱私是甚麼?很遺憾的,「隱私」在國內外的法律界,始終沒有一個統一的範圍-甚麼是隱私、甚麼不是隱私。資訊隱私學者Helen Nissenbaum教授在其著作中提出脈絡完整性理論,但仍沒有提出更放諸四海皆準的標準。或許在未來,我們可以運用機器學習去訓練一個隱私的模型,嘗試為「沒有標準」建立科學模型。
一開始我將Bitwarden架設在我私人的伺服器上,過程中吃了不少苦頭。後來架設於NAS上,大幅降低佈建難度。且NAS的原始設計就是長時間不間斷地開機運行,我認為是現階段自架Bitwarden的最佳方案。
Bitwarden是現階段值得推薦的一款密碼管理軟體,可以避免「一個密碼打天下」的危險狀態。若選擇自架Bitwarden伺服器則可免費獲得付費訂閱版本的功能全部功能,對於有一點技術能力的人來說,是個經濟實惠的選擇。
隱私是甚麼?很遺憾的,「隱私」在國內外的法律界,始終沒有一個統一的範圍-甚麼是隱私、甚麼不是隱私。資訊隱私學者Helen Nissenbaum教授在其著作中提出脈絡完整性理論,但仍沒有提出更放諸四海皆準的標準。或許在未來,我們可以運用機器學習去訓練一個隱私的模型,嘗試為「沒有標準」建立科學模型。
一開始我將Bitwarden架設在我私人的伺服器上,過程中吃了不少苦頭。後來架設於NAS上,大幅降低佈建難度。且NAS的原始設計就是長時間不間斷地開機運行,我認為是現階段自架Bitwarden的最佳方案。
Bitwarden是現階段值得推薦的一款密碼管理軟體,可以避免「一個密碼打天下」的危險狀態。若選擇自架Bitwarden伺服器則可免費獲得付費訂閱版本的功能全部功能,對於有一點技術能力的人來說,是個經濟實惠的選擇。
你可能也想看
Google News 追蹤
Thumbnail
國泰CUBE App 整合外幣換匯、基金、證券等服務,提供簡便、低成本的美股定期定額投資解決方案。 5分鐘開戶、低投資門檻,幫助新手輕鬆進軍國際股市;提供人氣排行榜,讓投資人能夠掌握市場趨勢。
Thumbnail
摘要 以下八類保單,不可做為強制執行標的: 一、產險; 二、健康險、1年期以下意外或旅平險、1年期壽險; 三、小額終老險; 四、被保險人合併保額不到100萬元的壽險; 五、前述這四項保單正在做保險給付,給付部分禁做扣押或強制執行。 六、進入年金給付的年金險; 七、壽險保單的單筆解約金
Thumbnail
金管會在行政院指示下去年初成為虛擬資產平台及交易業務事業(VASP)的主管機關。 為因應虛擬貨幣交易平臺頻繁爆雷的情況,金管會去年9月發布了管理虛擬資產平台及交易業務事業的十大指導原則。 此舉是為了加強對虛擬貨幣交易平臺的監管,以保護投資人的權益。 金管會也指出,若虛擬貨幣業者
碩河開發主導的「台北天空塔(The Sky Taipei)」投資開發案,傳出公司高層掏空弊案,金管會銀行局局長莊琇媛今(30)日指出,包括兆豐銀在內,一共有6家銀行參貸踩雷,已請律師研議是否觸及聯貸違約。 被視為台北新地標的台北天空塔,投資規模逾新台幣200億元,基地位於信義區松壽路、松智路口
Thumbnail
根據金管會的規定,台灣投信業者目前無法發行比特幣現貨 ETF。 這是因為 ETF 追蹤指數的成分股必須是經核准的有價證券,而比特幣並非有價證券,因此投信業者無法發行比特幣現貨 ETF[1]。 黃厚銘補充說,單一連結型基金有違目前法規,而組合式基金則無相關規定,但需採個案審理,主要包括投資
Thumbnail
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
Thumbnail
台股萬七失守,金管會信心喊話,基本面仍穩 台股昨日重挫294點,收在1萬6,762點,創下今年以來最大單日跌幅。市場憂心美國聯準會(Fed)未來可能繼續升息,導致資金外流,影響台股表現。不過,金管會證期局昨日信心喊話,表示台股基本面尚稱穩健,今年以來台股表現優於多數亞股,7月台股表現也是介於亞股之間
Thumbnail
你好,我是股市鴿~ ETF衝3兆 金管會三方點火再推進 ETF是一種在證券交易所上市交易的指數股票型基金,可以讓投資人以低成本、高透明度、高流動性的方式,追蹤各種國內外的指數表現¹。近年來,ETF在台灣的發展迅速,截至今年5月底,已有221檔ETF、規模達新台幣2.89兆元²,預計不久將突破3兆元大
Thumbnail
你好,這裡是股市鴿~ 澳豐基金爆雷 澳豐基金爆雷,是指一個名為澳豐金融集團(Ayers Alliance Financial Group)的公司,透過兆富公司在台灣非法銷售境外基金,訴求年報酬8%,吸引上萬投資人投入千億元。然而,今年3月起,澳豐金融集團在網站公布放棄經營,形同倒閉,讓投資人無法贖回
Thumbnail
大綱: 1.金管會對imB詐騙案件的處理方式? 2.P2P借貸面臨一些難題-監管 3.資金切成很多份,借人風險就變小嗎? 4.新金融科技要注意的事情 5.結論 摘要:本文探討了金管會對imB詐騙案件的態度以及P2P借貸監管所面臨的挑戰和困境。金管會表示詐騙案不在其監管範圍內,雖然政府逐漸開放,但目前
來喔!大家一起詐騙,關個7年可以享受20億元!! 7年換20億元,投資報酬率,划算!! 鴻源、孫道存的案件、派宏、貴婦奈奈吸金,到IMB,這些故事告訴我們: 台灣好棒棒,我們一起來詐騙!!
Thumbnail
國泰CUBE App 整合外幣換匯、基金、證券等服務,提供簡便、低成本的美股定期定額投資解決方案。 5分鐘開戶、低投資門檻,幫助新手輕鬆進軍國際股市;提供人氣排行榜,讓投資人能夠掌握市場趨勢。
Thumbnail
摘要 以下八類保單,不可做為強制執行標的: 一、產險; 二、健康險、1年期以下意外或旅平險、1年期壽險; 三、小額終老險; 四、被保險人合併保額不到100萬元的壽險; 五、前述這四項保單正在做保險給付,給付部分禁做扣押或強制執行。 六、進入年金給付的年金險; 七、壽險保單的單筆解約金
Thumbnail
金管會在行政院指示下去年初成為虛擬資產平台及交易業務事業(VASP)的主管機關。 為因應虛擬貨幣交易平臺頻繁爆雷的情況,金管會去年9月發布了管理虛擬資產平台及交易業務事業的十大指導原則。 此舉是為了加強對虛擬貨幣交易平臺的監管,以保護投資人的權益。 金管會也指出,若虛擬貨幣業者
碩河開發主導的「台北天空塔(The Sky Taipei)」投資開發案,傳出公司高層掏空弊案,金管會銀行局局長莊琇媛今(30)日指出,包括兆豐銀在內,一共有6家銀行參貸踩雷,已請律師研議是否觸及聯貸違約。 被視為台北新地標的台北天空塔,投資規模逾新台幣200億元,基地位於信義區松壽路、松智路口
Thumbnail
根據金管會的規定,台灣投信業者目前無法發行比特幣現貨 ETF。 這是因為 ETF 追蹤指數的成分股必須是經核准的有價證券,而比特幣並非有價證券,因此投信業者無法發行比特幣現貨 ETF[1]。 黃厚銘補充說,單一連結型基金有違目前法規,而組合式基金則無相關規定,但需採個案審理,主要包括投資
Thumbnail
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
Thumbnail
台股萬七失守,金管會信心喊話,基本面仍穩 台股昨日重挫294點,收在1萬6,762點,創下今年以來最大單日跌幅。市場憂心美國聯準會(Fed)未來可能繼續升息,導致資金外流,影響台股表現。不過,金管會證期局昨日信心喊話,表示台股基本面尚稱穩健,今年以來台股表現優於多數亞股,7月台股表現也是介於亞股之間
Thumbnail
你好,我是股市鴿~ ETF衝3兆 金管會三方點火再推進 ETF是一種在證券交易所上市交易的指數股票型基金,可以讓投資人以低成本、高透明度、高流動性的方式,追蹤各種國內外的指數表現¹。近年來,ETF在台灣的發展迅速,截至今年5月底,已有221檔ETF、規模達新台幣2.89兆元²,預計不久將突破3兆元大
Thumbnail
你好,這裡是股市鴿~ 澳豐基金爆雷 澳豐基金爆雷,是指一個名為澳豐金融集團(Ayers Alliance Financial Group)的公司,透過兆富公司在台灣非法銷售境外基金,訴求年報酬8%,吸引上萬投資人投入千億元。然而,今年3月起,澳豐金融集團在網站公布放棄經營,形同倒閉,讓投資人無法贖回
Thumbnail
大綱: 1.金管會對imB詐騙案件的處理方式? 2.P2P借貸面臨一些難題-監管 3.資金切成很多份,借人風險就變小嗎? 4.新金融科技要注意的事情 5.結論 摘要:本文探討了金管會對imB詐騙案件的態度以及P2P借貸監管所面臨的挑戰和困境。金管會表示詐騙案不在其監管範圍內,雖然政府逐漸開放,但目前
來喔!大家一起詐騙,關個7年可以享受20億元!! 7年換20億元,投資報酬率,划算!! 鴻源、孫道存的案件、派宏、貴婦奈奈吸金,到IMB,這些故事告訴我們: 台灣好棒棒,我們一起來詐騙!!