【業鑫說法】法令遵循觀點之資訊安全【Part.2】

三、企業應如何因應調整組織設計及人員配置？ 

金融監督管理委員會 110 年 12 月 28 日金管證審字第 11003656544 號令依據「公開發行公司建立內部控制制度處理準則」第 9 條之 1 第 2 項，訂定上市（櫃）公司應配置適當人力資源及設備負責資訊安全制度之規劃、監控及執行資訊安全維護作業，自 111 年 1 月 1 日生效。 

依據前述規定，下列公司必須 111 年底前指派綜理資訊安全政策推動及資源調度事務之人兼任資訊安全長（下稱資安長），並設置資訊安全專責單位，該單位應配置專責主管及至少二名專責人員，專門負責資訊安全相關工作或職務： 

1. 實收資本額達新臺幣一百億元以上。 
2. 前一年底屬證券交易所公告之臺灣五十指數成分公司。 
3. 最近一年度經由網際網路或其他電子方式媒介從事商品所有權移轉或提供服務之收入占該年度財務報告營業收入達百分之八十以上，或最近二年度經由網際網路或其他電子方式媒介從事商品所有權移轉或提供服務之收入合計占該二年度財務報告營業收入達百分之五十以上。 

除上述以外之上市（櫃）公司，最近三年度之稅前純益未有連續虧損且最近一年度財務報告每股淨值未低於面額者，則應於 112 年底前配置資訊安全專責主管及至少一名資訊安全專責人員。若上市（櫃）公司自 112 年 1 月 1 日之日起實收資本額達新臺幣一百億元以上，或自 113 年 1 月 1 日之日起符合前一年底屬證券交易所公告之臺灣五十指數成分公司者，應於符合適用條件起六個月內調整配置適當之資訊安全人力資源。 

屬於金融業之企業，資安長應指派副總經理以上或職責相當之人得兼任，綜理資訊安全政策推動及資源調度事務，並得依公司業務情況及管理需要，於董事會納入資安背景之董事、顧問或設置資安諮詢小組。

四、如何從內部稽核視角落實資訊安全？

由資訊安全的缺陷可能會給組織帶來嚴重的風險和損失，企業內部稽核系統更應在資訊安全議題上扮演重要的角色，具體落實步驟如下： 

1. 確定組織的資訊安全目標和策略

稽核人員應該評估組織的資訊安全目標和策略是否明確，是否符合業務需求和風險管理要求，並且是否得到適當的管理支持和資源。 

2. 評估資訊安全風險

稽核人員應該評估組織的資訊安全風險，包括潛在的威脅和弱點，以及現有的控制措施和風險管理計劃的有效性。 

3. 評估資訊安全控制

稽核人員應該評估組織的資訊安全控制，包括技術控制、政策和程序、人員安全等方面，並且確保這些控制符合最佳實踐和法律法規要求。 

4. 評估資訊安全事件管理

稽核人員應該評估組織的資訊安全事件管理，包括事件監測、事件響應、漏洞管理等方面，並且確保事件管理流程符合最佳實踐和法律法規要求。 

5. 監督資訊安全執行情況

稽核人員應該監督資訊安全控制和事件管理的執行情況，包括檢查系統和應用程式、安全漏洞測試、安全事件記錄、安全教育和培訓等方面，並且確保這些控制和管理流程得到有效的執行。 

總體來說，從內部稽核的角度來看，資訊安全是一個需要全面評估和監督的領域，稽核人員需要確保企業組織的資訊安全策略和控制措施得到有效的執行，以保護企業組織的資訊資產免受侵害。

五、資安意識如何落實於全體員工？ 

1. 教育訓練 

徒法不足以自行。企業要營造資安文化，必須將資安意識透過教育訓練徹底落實於各層級員工。 

教育訓練必須有引導範本，因此建議企業應依照自身行業及營運狀況，制訂資安維護計畫，建立資通安全風險管理機制，定期因應內外在資安情勢變化，檢討資安風險管理之有效性。此計畫並應側重於保護企業機敏資訊及資通系統之機密性與完整性，避免未經授權人員的存取、竄改。 

在員工職前訓練及在職訓練時，應納入資安課程，依照前述企業資安維護計畫需求，編定教材，內容應涵蓋下列各項： 

(1) 網路安全控管 

(2) 資通系統權限管理 

(3) 特種權限帳號（如管理者）之存取管理 

(4) 加密管理 

(5) 作業與通訊安全管理 

(6) 遠距工作之安全措施 

(7) 電子郵件安全管理 

(8) 實體與環境安全措施管理

(9) 資料備份規範及管理 

(10) 實體儲存媒體（如隨身碟）防護措施 

(11) 電腦使用之安全管理 

(12) 行動設備之安全管理 

(13) 即時通訊軟體之安全管理 

(14) 資通安全事件通報、應變及演練相關機制

2. 課與法律責任 

除了前述教育訓練外，透過契約條款約束員工行為，亦為企業保障資訊安全不可或缺之課題。 

與企業資安有關的契約條款，建議包括下列內容： 

1. 明確界定員工資訊安全責任範圍：要求員工遵守公司的資訊安全政策和程序，保護公司的資訊系統免受損害。若公司有具體的規範辦法。例如 OO 公司資訊安全行為準則，可將之載明於契約約定條款中，要求員工確實遵守。 
2. 參與資安訓練義務：要求員工接受相關訓練，瞭解資訊安全重要性，知悉應遵守之公司資安政策、辦法及行為準則，及遇到資安事件時之通報程序。 
3. 違反資訊安全規定效果：員工如因違反企業資安規範，致生損害於公司時，應負起之法律責任，例如內部人事懲處、解僱、違約金及損害賠償等。 
4. 保密義務：對於企業之營業秘密或其他應保守秘密事項，員工於職務上知悉時，必須盡保密義務。此保密義務得約定於離職時繼續發生效力。 
5. 「智慧財產權」、「禁止勸誘」及「離職時移交刪除資訊」約定條款：勞動契約常見條款中，「智慧財產權」、「禁止勸誘」及「離職時移交刪除資訊」約定條款與企業資安亦有密切關係。「智慧財產權」歸屬條款中，可以特別載明將員工於職務上研究、開發之營業秘密歸屬雇主所有，並約定非職務上研究開發取得之營業秘密者，雇主得以支付合理報酬為對價利用之方式，甚至進一步規定優先承購權。另外，目前許多企業採取分散式架構保存營業秘密，也就是把關鍵營業秘密資訊，分割成好幾段，各部門員工只能得知片段資訊，無法得知完整營業秘密全貌。若競爭對手欲竊取營業秘密，必須要挖角整個團隊，始能成事。此時在聘僱契約內約定「禁止勸誘」條款，要求員工在職或離職後不得勸誘雇主在職員工離職，亦可降低營業秘密或其他應秘密事項（如客戶個資）外洩之風險。又知悉企業營業秘密或其他應秘密事項之員工離職時，有可能在他私人的電腦或手機中有雇主公司的秘密資訊，此時應該透過勞動契約中「離職移交」條款約定，要求員工離職前將各該資訊移交給公司指定之交接窗口，並要求將其私人電子設備中之公司資訊全部刪除，以免秘密資訊外洩，造成資安危害事件。 
6. 居家工作特約條款：由於居家工作以電腦、手機等裝置透過網路連線之工作型態，有別於在公司辦公室內辦公，特別是涉及公司資安事項，有高度要求員工守密之需求，因此企業應趁此機會全面檢視營業秘密之範圍，特別設定嚴格之登入瀏覽、下載權限，並在電腦進入頁面為洩漏、盜取營業秘密之民刑事責任法律效果之宣告，實屬疫情流行情境及疫情後繼續採行居家工作模式之企業，一定要採行之防範措施及約定。

六、結論：是時候採取行動了 

在資訊社會中，資訊安全乃企業生存之基石，不容忽視。隨著外在環境的變遷，政府法令、主管機關要求及社會輿論壓力下，企業必須採取具體行動展現重視資安的態度，才能在層出不窮的資安危害事件中將風險降至最低。 

企業制訂的資安計畫中，必須注意三個步驟： 

1. 法令遵循 
2. 組織及人力資源規劃 
3. 員工契約責任

資安不僅僅侷限在資訊技術層面，更是企業治理及法令遵循的議題，可以說沒有資安就沒有企業的生存基礎，遑論發展，所以馬上採取行動，採能讓企業在日益險惡的資通環境中生存的唯一方法。

作者：陳業鑫

更多陳業鑫律師相關資訊，都在【業鑫法律事務所】

閱讀前篇：

法令遵循觀點之資訊安全【Part.1】

快來【午後人資，饗受新知】頻道、新知識主動來報到！