資安署發布中小企業資安指引　3面向檢核助產業防駭

（中央社記者潘姿羽台北16日電）網路時代來臨，產業資安意識也應同步提升。數位發展部資通安全署近日發布「中小企業基本資安防護指引」，透過帳號管理、設備與資料管理、資安意識培訓3大面向，協助企業建立資安基礎。

資安署今天發布新聞稿指出，駭客偏好攻擊防護較薄弱的對象，沒有專職資安人力的中小企業，很容易成為駭客優先攻擊的目標；一組重複使用的密碼、一台3年未曾更新的桌機，看似日常，卻可能導致企業整週無法接單出貨。

資安署表示，資安防護不一定要花大錢買設備，關鍵在於應建立正確的作業流程與使用習慣，建議企業運用「中小企業基本資安防護指引」，快速評估自身防禦能力；此指引附帶「中小企業基本資安防護自檢表」，列出16項基礎檢核點，像是「密碼是否超過15碼？」以及「是否使用3-2-1原則備份？」等，企業主只需勾選「是」或「否」，就能知道自家的防禦漏洞 。

至於中小企業如何進行資安防護，資安署建議落實「帳號管理」、「設備與資料管理」與「資安意識培訓」3面向。

帳號管理方面，密碼建議至少15碼，且每組帳號都有專屬密碼，可大幅降低被破解的風險；並注意不共用帳號，每位員工應有獨立帳號、禁止多人共用，員工離職當天則應立即停用帳戶，避免重要資料外流。

設備與資料管理方面，目的是守護公司的資產。不論是Windows還是常用軟體（如LINE、Chrome），都要開啟「自動更新」，並安裝防毒軟體，定期掃描系統、修補漏洞，讓駭客進不來。

資安署特別提醒，應落實「3-2-1備份原則」，公司資料至少要有3份備份、存放在2種不同儲存媒體、至少1份異地存放，並建議其中1份要離線存放（如外接硬碟），這是企業在遇到勒索軟體攻擊時，把資料救回來的機會。

此外，裝好設備第一件事，就是改密碼。攝影機、印表機、路由器等設備出廠時都使用相同的預設密碼，攻擊者對這些密碼瞭若指掌。設備連上網路後，第一步就是改掉預設密碼。

資安意識培訓部分，培養員工識破釣魚陷阱的能力，建議企業內部建立內部規則，如涉及權限變更、金流或檔案下載，一律先用電話向對方確認，不直接點選信中連結或附件。

企業也應建立資安事件應變計畫，當電腦出現不明程式、檔案突然被加密、系統異常緩慢，這些徵兆很容易被企業當成普通故障而忽略。發現異常時，第一步先中斷網路連線，第二步通報指定窗口，第三步保留現場畫面或紀錄。3個步驟不需要技術背景，任何員工都能執行。

資安署並呼籲企業善用政府資源，免費註冊「台灣電腦網路危機處理暨協調中心 （TWCERT/CC）」會員，可接收最新威脅警報，獲取即時的資安情資。另外，也可透過指引中附件的「中小企業資安參考資料資源」，從中小企業網路大學校、國家資通安全研究院及TWCERT/CC等，獲取免費的資安防護資源。

資安署強調，資安並非額外的營運開銷，而是企業經營基礎，希望能與全國中小企業共同打造更安全、更具數位韌性的營運環境。（編輯：張均懋）1150416