面對全球日益嚴峻的資料外洩風險與高昂成本,企業如何有效控管資訊安全與保護營業秘密已成為重要課題。在一場由新聚能科技與岳逸科技共同舉辦的線上研討會中,專家們從管理、工具及保險等多個角度,深入探討了此議題。
內外夾擊:營業秘密保護的挑戰加劇
會議指出,根據IBM 2023年的報告,全球資料外洩的平均成本已攀升至445萬美元。除了外部駭客攻擊,超過半數(53%)的商業機密外洩源自於內部疏失或管理不當,且此比例仍在逐年上升。此外,營業秘密在法律上雖受保護,但企業在實務中常面臨兩難:如何落實「合理保護措施」以符合法規要求,同時避免過度嚴格的措施影響營運效率。講者也提到,許多營業秘密訴訟案件最終因未能充分證明已採取「合理保護措施」而敗訴,凸顯了舉證的困難度。
系統化保護營業秘密的解方
針對上述挑戰,新聚能科技 朱總經理建議可將營業秘密管理整合至現行的ISO 27001資訊安全管理系統框架中。企業可利用ISO 27001的風險評鑑流程,包含風險識別、分析、評估與處理,來客觀且系統化地定義營業秘密的等級,並據此制定相應的「合理保護措施」。
具體作法上,可先透過ISO 27001的資產盤點,識別出可能涉及營業秘密的文件或資訊資產。接著,考量其機密性、法規遵循要求、經濟價值等因素進行客觀分級。針對不同風險級別的營業秘密,再結合如員工離職等具體情境,評估潛在的侵害風險,並設計如簽署保密協議、離職面談提醒、存取權限控管等具體保護措施。
善用工具提升效率與落實度
為確保保護措施的有效落實並降低人為疏失,講者強調可善用資訊工具進行輔助,例如自動化的文件標示、權限控管與稽核記錄等。
面對日益嚴峻的資安威脅,企業應如何應對?岳逸科技的 Kelvin 技術顧問提出多項具體建議。首先,身份驗證是防禦的第一道防線。傳統的帳號密碼驗證已不足以抵擋駭客攻擊,企業應導入更安全的身份驗證機制,例如多因子驗證(MFA)或FIDO2無密碼驗證,以確保只有授權人員才能存取系統和資料 。 其次,資料保護至關重要。企業應實施資料遺失預防(DLP)工具,對機敏資料進行分類、標籤和加密,防止資料外洩 。同時,也應建立完善的資料存取控制機制,確保只有具備權限的人員才能存取相關資料。 此外,外部資安評級也是不可或缺的一環。透過外部評級,企業可以從駭客的角度檢視自身資安狀況,找出潛在漏洞並加以修補,有效提升整體防禦能力 。
許多企業面臨資安人力不足、經驗不足的困境,難以有效導入和管理資安工具。對此,專家建議,企業可尋求專業的資安顧問服務和工具代管,由專業團隊協助規劃資安策略、導入資安工具、監控資安事件,並提供緊急應變支援,成為企業最可靠的資安後援 。
如何尋找適合的保險產品
新心資安科技的共同創辦人兼資安長陳瑞麟分享指出,在選擇保險產品時,企業應仔細審閱保單條款,特別是關於賠償範圍和不賠償範圍的條款,以充分了解保險的保障內容 。
資安保險的承保範圍通常包括資料保護責任和資訊安全責任兩大類 。資料保護責任主要涵蓋因違反個資法導致的第三人求償,而資訊安全責任則包括因網路攻擊導致的營運中斷、資料恢復等損失 。承保的費用項目則包括抗辯費用、官方調查費用、通知費用、資安專家費用和復原費用等 。
不同的保險公司提供的資安險產品各有特色。例如,富邦產險的資安防護險承保資料保護責任和資訊安全責任,並提供網路勒索附加條款 。新安東京海上產險則針對中小型企業推出較為經濟實惠的方案,但對特定行業設有除外條款 。企業在選擇時,應綜合考量自身的風險狀況、預算限制以及保險公司的產品特色。
本次會議不僅提升了企業對資安議題的重視,也提供了豐富的實務建議,獲得與會者一致好評。在全球資安威脅日益嚴峻的今天,相信透過合作夥伴的共同努力,必能有效提升台灣企業的資安防禦能力,降低資安風險帶來的潛在損失 。