Cindy Liu / Marketing Specialist

在本篇文章的上集，我們介紹了零售業轉型所面臨的挑戰及相關法律規範，並從使用者端防護、網路閘道防護、伺服器防護三個面向介紹了技術層面可執行的防護措施，本集我們將針對《零售業個人資料檔案安全維護管理辦法》中提及的資安管理層面進行說明及觀點補充。

重點回顧 : 數位零售新挑戰 : 個資保護新規上路，零售業資安該如何應對？—上集 

關於管理層面之法規要求，將參考經濟部商業發展署113年度「零售業個資保護」宣導說明會之內容提供指引。

《零售業個人資料檔案安全維護管理辦法》管理層面之核心要求 :
• 訂定個資安全維護計畫
• 指派專責人員管理個資安全
• 落實資安防護措施
• 定期稽核與報告

而針對上述核心要求，可以以 PDCA 圖的操作步驟為參考：

※個資安全維護 PDCA 措施循環圖

雖然已經有明確的法律規範和PDCA操作指引，但資安長在執行過程中仍會面臨實務上的挑戰：

根據CISO Insight資安調查報告顯示，除了持續增長的資安風險外，資安相關人力不足、員工資安意識薄弱，以及監控與回應資安事件的能力不足，都是在執行資安策略時常見的痛點。

 進一步來看，如果把這些問題放進 PDCA 的流程，實務上常常會遇到這些挑戰：

• Plan：在資安規劃階段，常見挑戰不僅僅是「預算有限、風險無窮」的困境，而是預算與實際風險評估間缺乏精準對應與優先排序。若未能有效分配預算至高風險區域，就會導致計劃再完整也難以發揮效益，產生「規劃到位、執行落空」的情況。
•  Do：在執行階段，資安人力有限但任務龐雜是主要難題。尤其在零售業的 OMO 營運架構中，前後台系統整合複雜，資料流遍及線上線下，導致少數資安人員需兼顧多重任務（如防毒、監控、設定、教育訓練等），不但效率受限，也容易發生疏漏。
• Check : 在檢查階段，缺乏即時、集中化的可視化監控工具，使得異常情況往往只能在事後才被發現。此外，若內部稽核制度不夠健全，容易影響整體資安防護的敏捷性與主動性，導致企業防禦性較弱而錯失及時發現並應對潛在威脅的機會。
•  Action：在行動階段，資安應變往往流於臨時應急與事件後補救，而缺乏長期改善機制。許多企業雖然事發當下會應對處理，但缺乏持續的風險評估與計劃修正機制，導致同類事件重複發生。若資安管理無法納入企業日常營運流程中，改善行動難以累積與深化。

面對資安管理中的各種挑戰，企業需要在預算配置、人力需求、系統整合、即時監控以及持續改善等方面做出有效的應對。從全球趨勢來看，各國個資法明顯朝向更加嚴格的方向規範與發展，以台灣《個資法》修法趨勢來看，可預期未來罰則與監管力度將更趨嚴謹。企業在蒐集、處理及利用個資時，必須秉持合法、正當和透明的原則，然而如何有效管理機敏資訊，並加強資安防護與資安治理卻是更為迫切的一大挑戰。

總結來說，資安不僅是合規的需求，更是一段長遠且持續的旅程。隨著雲端應用與數位轉型加速、資安威脅日益增加、法規日益精細且快速變化，企業在落實法令合規與制定資安計劃時，正面臨資源配置、既有系統與資安工具整合困難、缺乏具實務經驗的資安人才等多重挑戰。唯有具備整體資安策略與長期規劃，將資安真正融入日常營運流程與技術架構，才能讓合規不只是形式，更成為提升資安韌性的關鍵力量。

一站式資安託管服務正是為了解決這些痛點而設計—從資安策略規劃、制度建構、技術導入到持續監控與應變，提供橫跨技術整合與合規治理的專業顧問支援，協助企業以有限資源打造最大防護力，不僅符合法規，更強化整體營運韌性與市場競爭力。

從規劃到改善，一站式資安服務，陪你走完PDCA 👉立即諮詢資安託管服務

參考來源 :
∎ 2024 CIO Insight 調查報告下載 | CIO Taiwan
∎ 經濟部商業發展署113年度「零售業個資保護」宣導說明會