對現今的企業組織而言,資訊可謂是相當重要且應受保護的資產,有鑑於此,國內外政府對於資訊安全相關政策與法令的制定,也相當重視,期能挹注國家之力,提升全民的資安意識。
國內方面,在新冠病毒疫情的催化下,為了提供客戶更加便利的服務,金融機構加速數位化的進程,然而,高度利用資訊科技的金融機構,近年來卻屢傳駭客攻擊事件(如SWIFT系統遭盜轉、ATM遭盜領),在在更彰顯資安防護的強化,實刻不容緩。因此,金融監督管理委員會於2020年8月推行了金融資安行動方案,以驅動金融業者重視資安的組織文化為目標。該方案主要內容包含推動符合一定條件的券商、期貨商、投信投顧應設置副總經理層級的資安長,統籌資安政策推動協調與資源調度,訂定新興金融科技的資安規範,資安人才培育計畫,強化資安治理能力與水準等等,希望藉此確保安全便利的金融服務不中斷。
隨著科技不斷地深入及創新,人與物、物與物間溝通的需求與時俱進,一旦所有的物品都具備連結網路的能力,並透過網路提供的服務讓物品彼此間溝通,就會有資安上的疑慮,美國政府也意識到這一點,遂於2020年12月通過物聯網網路安全法(IoT Cybersecurity Improvement Act of 2020),旨在針對美國聯邦政府未來採購物聯網設備制定了標準與架構,要求美國國家標準技術研究院(National Institute of Standards and Technology, NIST)為聯邦政府建立關於辨識、管理物聯網設備安全弱點、身分管理、遠端軟體修補等項目的最低安全標準及相關指引,每隔五年,NIST應對其所訂標準進行必要的更新或修訂。
另外,中華人民共和國於2021年11月1日正式施行《個人信息保護法》,這是首部的個資保護專法,此舉無異是中華人民共和國在個人資料保護上的一大突破。該法主要針對個資處理規則、個人在個資處理活動中的權利,以及個資處理者的義務、監管職責、罰則等進行全面規範。例如備受關注的「大數據殺熟」問題,《個人信息保護法》明確規定企業於利用個資作出自動化決策時,不得有不合理的差別待遇,以期遏阻企業利用「大數據殺熟」謀取溢價的利益。如果企業以自動化決策作出對個人權益有重大影響的決定時,個人應有權要求個資處理者予以說明,也賦予個人拒絕的權利。此外,對於公共場所安裝攝影機、人臉識別設備等祭出更嚴格的規範,除非已取得個人單獨同意的例外情形,在公共場所安裝攝影機之類的身分識別設備,只能用於維護公共安全的目的,並且須設置顯著的提示標識,希望藉此緩解大規模應用人臉辨識系統下人民對人臉辨識是否安全的疑慮。於此同時,《個人信息保護法》更導入歐盟的個資保護長與資料可攜權,要求處理個資超過政府規定數量的企業,必須指定個資保護負責人,個人在符合政府規定時,有權要求企業將個資移轉給指定的其他企業,由此可見,《個人信息保護法》對個人資料的保護強度及其對企業組織的影響之大,可不能等閒視之。
由於資訊流通方式的多元發展,應受保護的資訊資產恣意流竄的現象,所在多有,讓人防不勝防,因此,如何強化自身資訊安全,已然成為企業組織的共同課題,企業組織宜儘速加強資安教育訓練,強化資安治理能力,並審慎評估適當的資安產品,方得落實真正的「資訊安全」。