建立數位韌性 X 強化公司治理X 落實ESG永續
企業積極響應ESG,ESG實踐績效也越發被視為評估一間企業經營是否良善的指標,並做為外部投資人參考企業永續經營及投資決策評估的重要資訊。2023年開始,金管會強制要求資本額達20億元以上的上市櫃公司要編製並且申報永續報告書,讓非財務資訊完整揭露,落實公司治理3.0更為嚴格的監管範疇,企業的ESG表現變成許多監管機構和證交所的基本評鑑指標。
ESG中的「公司治理」是指企業需重視經營面向的表現,以維護公司自身的名譽與發展;而評估標準包含公司營運上的各種事項,如:公司管理高層、主管薪酬、審計、內外部風險管理、股東權利、企業道德 、資訊透明、董事多元、企業合規等議題。
而建立數位韌性成為企業強化公司數位治理、落實ESG永續發展的目標。在公司治理中的項目中,有一個很重要的項目是「資訊安全管理」,ESG要求公司公開揭露「違反資安或網路安全事件數」、「資料洩漏事件數」、「因資料洩漏而受影響的顧客與員工人數」等數據。企業對於資訊安全的作法,可以導入資訊安全管理系統國際標準 ISO/IEC 27001驗證,依照「Plan-Do-Check-Act」(PDCA) 之循環運作,每年至少進行一次內部自我稽查及一次外部公正第三單位稽核,讓不斷改善與優化資安措施成為企業的精神。
在新版的ISO/IEC 27001:2022規範中,增加多項資訊安全的控制要項,包括:組態管理、資訊刪除、資料遮蔽、資料洩漏預防、監視活動等項目。要完成上述項目,日誌的保存與管理就相對重要,因為沒有日誌就無法追蹤過去系統發生了什麼事情,也無法即時告警通知等。宏碁雲架構(Acer eDC)自行研發的專業級的事件日誌收集、保存、分析與稽核管理系統SAFE 3.0,可以滿足ISO/IEC 27001:2022稽核制度在日誌保存與管理上的要求,藉由定期產製稽核報表、事件規則撰寫與通報落實稽核制度的存錄、監視活動等條文。
日誌管理是企業資料治理中實踐資訊安全的基礎,唯有做好日誌管理,降低資料治理風險,企業的資安才能得以順利推展,讓風險發生的可能性降到最低。資訊安全管理做的好,就可以推進公司治理永續,落實ESG精神。若想瞭解SAFE3.0相關的產品資訊,可與我們聯繫。