loading...
一組重複使用的密碼、一台3年未更新的電腦,看似日常操作,卻可能讓企業「整週無法接單出貨」。數位發展部資通安全署4月16日發布「中小企業基本資安防護指引」,從帳號管理、設備與資料管理、資安意識培訓三大面向著手,並附16項基礎檢核表,協助企業快速盤點風險、建立資安防線。
資安署指出,駭客偏好攻擊防護較薄弱的對象,缺乏專職資安人力的中小企業,往往成為「阻力最小」的入口。像是重複使用同一組密碼,或長期未更新設備,都可能成為重大資安破口,甚至導致營運中斷。
為降低風險,資安署強調,資安防護不一定仰賴高額設備投資,關鍵在於建立正確的作業流程與使用習慣,指引建議企業優先從三大面向著手。
在「帳號管理」方面,資安署提醒應「管好公司的鑰匙」,密碼建議至少15碼,且每組帳號使用專屬密碼,避免重複使用;重要帳號可啟用多重驗證機制,即使密碼外洩,也能防止未授權登入。此外,企業應落實帳號分級管理,每位員工使用獨立帳號,離職當天立即停用,以防資料外流。
數發部資安署4月16日發布「中小企業基本資安防護指引」,從帳號管理、設備與資料管理、資安意識培訓三大面向著手,並附16項基礎檢核表,協助企業快速盤點風險、建立資安防線。(資安署提供)在「設備與資料管理」方面,重點在於守護公司資產。資安署建議,不論是Windows或常用軟體如LINE、Chrome,都應開啟自動更新,並安裝防毒軟體、定期掃描與修補漏洞。同時,應落實「3-2-1備份原則」,將資料備份3份、存放於2種不同媒體,並至少1份異地保存,且其中1份建議離線存放,以提高遭遇勒索軟體時的復原機會。
此外,設備連上網路後,第一步就是更改預設密碼。資安署指出,攝影機、印表機、路由器等設備出廠時多使用相同預設密碼,攻擊者對此「瞭若指掌」,若未更改,形同敞開大門。
數發部資安署4月16日發布「中小企業基本資安防護指引」,從帳號管理、設備與資料管理、資安意識培訓三大面向著手,並附16項基礎檢核表,協助企業快速盤點風險、建立資安防線。(資安署提供)在「資安意識培訓」部分,資安署提醒,釣魚郵件常偽裝成日常業務,如報價單或匯款資訊變更,企業應建立內部查核機制,凡涉及金流、權限或檔案下載,一律先以電話確認,避免直接點擊連結或附件。
同時,企業也應建立資安事件應變流程,當出現不明程式、檔案遭加密或系統異常等情況時,應立即「斷網、通報、保留現場紀錄」,三個步驟不需技術背景,任何員工皆可執行。
為協助企業快速檢視風險,指引也附上「中小企業基本資安防護自檢表」,列出16項檢核指標,如「密碼是否超過15碼」、「是否使用3-2-1備份原則」等,企業只需勾選「是」或「否」,即可辨識防護缺口。
資安署並建議企業善用政府資源,包括免費註冊「台灣電腦網路危機處理暨協調中心(TWCERT/CC)」會員,接收最新威脅警報與資安情資,也可透過中小企業網路大學校、國家資通安全研究院等管道取得訓練與工具。
資安署強調,資安並非額外的營運成本,而是企業經營的基礎,盼透過簡明指引,協助中小企業打造更安全、具數位韌性的營運環境。中小企業基本資安防護指引:https://gov.tw/ZZ5
