※ 引述《CMJ0121 (不要偷 Q)》之銘言： : 在某一份工作 曾經替主管整理資料描述公司遭遇資安事件之後的可能下場 : 最近看到 iThome 的文章：被駭超過20次卻不知不覺的InfoTrax與FTC和解[0] : 又想起當年整理的報告 在台灣如果不是發生像勒索病毒這種立刻癱瘓系統的攻擊 而是像資料竊取的資安事件 我認為可能也是一堆企業被駭客入侵而不自覺 看看去年的銓敘部和1111人力銀行個資外洩的事件 也是駭客把那些資料公佈在Raidforums論壇上 他們才驚覺已經被入侵了 代表當下也沒有即時發現和阻止 : 簡單來說：當一間公司的資安問題嚴重到被政府 (e.g. 美國政府) 盯上的時候 : 就會被罰錢 and/or 接受外部第三方的評估 : 這表示可能在某些年限中 (e.g. 10年內) 要被第三方做 code review : 光公司內的 code review 就可以吵翻天了 不知道被公司外的人 code review 會怎樣啊 2018年政府就有開始實施資通安全管理法 其中有一項條例就是說公務機關和特定非公務機關(例如：金融業、電信業、醫療業) 發生資安事件時必須通報上級機關 否則會有罰鍰 但事實上若真的發生重大資安事件 以我聽到的一些資訊 反而會有更多的機關選擇隱瞞實情 因為有重大資安事件勢必就會被中央關切和檢討 之後還要繳交改善報告、還會被外部稽核 底下機關為了美化數據當然會想辦法粉飾太平 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 106.104.80.164 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1580015148.A.162.html