無店面零售業、第三方支付企業 企業資安成熟度評級服務和資安演練申請須知
一、 說明
產業邁向數位轉型之路,工廠設備聯網、OT與IT融合在一起,使得製造生產變得更自動、更智慧,進而帶來資安的隱憂,後疫情時代,許多產業改變了工作型態,遠端連線的需求倍增,更提高了資安風險。近年來資安事件頻傳,根據統計,在 2022 年企業網路平均每週遭受的網路攻擊數量便相較去年增加 38%,現階段,國內企業約有95%的資安防禦程度處於起步階段,即便有資安意識,也不知道從何著手,或者怎麼評估導入之後的成效。如果企業想要「數位轉型」與「資訊安全」雙贏,提高對產業資安的關注勢在必行。本推動項目係由數位發展部數位產業署委託工研院執行之「資安跨域聯防暨物聯網場域推動計畫」落實企業資安評級推廣,以提升產業資安韌性,促進產業資安防護能力提升,逐步落實「資安即國安」政策目標,建構可支撐數位國家與經濟安全的產業資安。
數位發展部數位產業署為協助無店面零售業、第三方支付服務業等數位產業企業解決國內產業資安痛點,委託工研院承辦「資安跨域聯防暨物聯網場域推動計畫」整合國內資安成熟度輔導能量,以因應企業面臨不知道從何著手,或者怎麼評估導入之後的成效,進一步符合多項國際標準和國內法規要求,掌握國際大廠資安需求。藉由「企業資安成熟度評級服務」結合資安顧問輔導,協助企業瞭解自身的資安風險,釐清企業資安缺口,並透過資安檢測、Digital+數位創新補助平台等資源,扶植企業建立資安防護機制,提升資安韌性,帶動整體產業生態系資安防禦能力。
二、 主辦與執行單位
主辦單位:數位發展部數位產業署
執行單位:財團法人工業技術研究院
三、 申請資格
無店面零售業、第三方支付企業資格:稅務行業標準分類的J大類,包含62中類(電腦程式設計、諮詢及相關服務業),或63中類(資訊服務業)2類身分,或其他可列舉營業項目為無店面零售業,和第三方支付服務業資格證明。
四、 輔導資源: (可擇一申請,或兩項皆申請)
| 項目 |
說明 |
| 資安成熟度評級含資安掃描檢測 |
藉由資安評級系統和顧問訪查輔導,釐清資安缺口,同步幫助廠商建立供應鏈資安風險評估機制和資安提升規劃,以強化企業資安風險防護能力。
系統提供企業資安掃描檢測免費申請服務。
資安掃描檢測: 提供網頁應用安全掃描(web application Security)、網路通訊埠掃瞄(network Security)、IP 信譽(ip Reputation)分析等外部資產曝險分析服務。
*申請書如附件1、2
|
| 資安演練 |
- 補助每案最高100萬元,每案補助比例不超過50%。
- 針對紅隊演練(為必須)、可自行搭配藍隊驗證、源碼安全性檢測、App安全性檢測、系統弱點掃描、網頁弱點掃描、惡意程式檢測、滲透測試等其他檢測項目。
*申請書如附件3、4
|
五、 受理申請時間:即日起至112年6月30日下午5:00止。
六、 執行期間:自審查通過起至112年10月31日止。
七、 申請辦法
八、 審查方式與重點
- 資安成熟度評級採「書審」方式,審查重點說明如下:
| 項目 |
內容 |
權重比例 |
| 資安重要性 |
- 申請單位公司介紹
- 產業現況和申請企業面臨的課題
- 背景與重要性 (如經濟貢獻度、位居特定供應鏈之特殊性等)
- 其他預期產生效益之說明
|
70% |
| 資安需求程度 |
- 申請企業數位化環境現況
- 問題情境與需求痛點
- 經濟衝擊程度
- 國際供應鏈或客戶要求資安標準(如國際大廠稽核)
|
30% |
- 資安演練採「書審」和「面審」,審查重點說明如下:
| 項目 |
內容 |
權重比例 |
| 計畫內容 |
- 產業背景與重要性
- 問題情境與需求痛點
- 資安技術導入目的與預期產生價值說明
- 請說明紅隊規劃之攻擊範圍、演練情境採用方式/方法與工具
- 請說明紅藍隊投入人員之工時數
- 請說明計畫執行時程與查核點
|
20% |
| 執行能力 |
- 內部高階管理者參與
- 第三方技術單位或專家於資安經驗與專業度(如:演練場次、執行的產業類別)
- 具有專利或技術驗證證明之國產資安合作廠商(MOU)
|
35% |
| 計畫效益 |
- 資安導入之效益與驗證方式 (審查資安演練實證規劃及演練複測效益)
- 後續客戶或策略聯盟業者推廣計畫 (擴散效益)
- 可帶動相關投資與營收、降低成本等經濟效益 (資安延伸效益)
|
45% |
| 加分項目 |
- 政府資安責任等級為B級或以上/企業資安成熟度B級或以上(本項申請紅隊演練為必要項目)
- 專案金額
- IT或資安團隊的證照或相關經歷的履歷
- 與產業推動小組(SIG)合作,並簽訂合作意向書(MOU)
|
5% |
九、 審查通過之企業應履行權利義務
- 配合計畫媒合評級顧問,享有顧問輔導資源,並配合計畫顧問參與相關評級工作會議。
- 提供計劃執行過程所產生之檢測、服務等相關報告,由輔導單位(工業技術研究院)協助確認服務內容品質,並進行相關結果數據統計(非公開用途,以計畫稽核用途為主)。
- 提供參與案例成果效益報告,並可配合本計畫公開成果發表,或可作為廠商之匿名實施案例參考。
- 優先邀請參與計畫聯合行銷活動,如專案補助之指標性國內、外大型推廣活動,提升企業或產品露出機會。
- 計畫執行期間及計畫結束後3年內,需配合輔導單位(工業技術研究院)辦理執行成效追蹤、成果發表會等活動。
十、 申請窗口
十一、 申請文件格式