商業司提供零售業免費資安健診

由經濟部商業司推動「提升零售業資訊安全品質計畫」，從8月中開始到今年12月20日截止，將提供零售業者1千個免費資安健診名額，最後也會選擇100家較具規模的零售業者，輔導導入資安制度。

經濟部商業司科長張展鏡表示，許多個資外洩都是經由交易行為洩漏，尤其是第一線零售業者的交易流程，不論是透過網路或無店鋪的零售行為，因為更容易被駭客入侵，也使得零售業面臨龐大資料外洩的壓力。因此，他說：「經濟部商業司此次，將零售業列為優先導入資安規範的產業，希望藉由政府輔導的力量，降低零售業者資料外洩的風險。」

「提升零售業資安品質計畫」是今年振興經濟擴大公共建設特別條例的分項計畫，主要是針對臺灣零售業者進行包括：資訊安全認知推廣、資訊安全企業內訓、資安免費健診以及導入資安系統等輔導項目。張展鏡表示，希望從最基礎資安認知的宣導，逐步提升零售業者對於資訊安全的重視，在電子商務發展的同時，進一步做到個人隱私的保障。

負責執行此計畫的中華民國資訊軟體協會資安組組長許志傑表示，為了提高零售業者的參與意願，此次計畫設定的申請門檻較低，除了必須具有商業或公司登記，至少有3臺電腦和1臺伺服器，最主要的門檻就是必須為「零售業」。

此次合作的資安系統業者總計有36家，分成15種類別的解決方案。許志傑表示，報名免費資安檢測的零售業者，可以從36間資安系統廠商中挑選1家，並針對該業者提供的解決方案選擇其一，作為此次免費的資安健診項目。

整個免費資安健檢的流程可分成2部分，首先由資安廠商的資安顧問到企業進行訪談，針對中華軟體協會提供的60項資安管理規範精簡版的檢核表，逐一了解整個公司資安現況及資安管理上的優、缺點等。除了和企業用戶進行訪談外，也會提供該公司既有的資安工具進行檢測。

第一次訪談和工具檢測完畢後，第二次就是資安廠商針對第一次的訪談和檢核表結果進行說明，說明第一次工具檢測的報告項目，也同時進行第二次工具檢測，看相關的缺失部分是否已經有改善。

許志傑表示，資安廠商完成這兩次的訪談說明和工具檢測後，必須提出一份正式的資安報告給企業用戶。但為了杜絕資安廠商全篇報告都鼓吹採購自家商品或服務的疑慮，許志傑說：「該份報告必須先送中華民國資訊軟體協會審查內容沒有置入性行銷後，才能寄送給企業用戶。」

由於許多零售業者，都是第一次和資安廠商進行資安訪談，因為企業用戶多不清楚自己需要的是哪一種資安服務，也讓資安廠商通常要進行多次的訪談，才能夠真正確認企業的資安需求。許志傑表示，客觀估計，平均一間資安廠商大約要耗時半個月，才能夠完成一次的免費資安健診服務。

一位不願具名的廠商表示，此次資安健診輔導案推出時間比較急促，有些企業不清楚自己需要什麼樣的資安健診服務，導致不知道如何選擇合作的廠商。他認為，這是下一次若有相同計畫推出時，相關單位可以進一步改善之處。

除了1千家零售業者的免費資安健診服務外，許志傑說，該項計畫也會選出100家較具規模的零售業者，進行資訊安全系統導入的免費服務。他表示，這一百家企業，主要是針對資安健診時的缺失，進行矯正該項缺失的資安系統導入矯正措施和資安制度，並非全面性的資安制度導入。

要申請此次免費資安健診服務，零售業者可到www.e-save.org.tw網站下載申請書。許志傑表示，目前已經有2百多家零售業者報名。文⊙黃彥棻