文/廠商新聞稿 | 2023-05-22發表

左起:果核數位許程豐資安顧問、果核數位丁瑋明總經理、群益期貨賈中道董事長、台灣商業聯合總會蔡毅憬秘書長、普華商務法律事務所蔡孟祥協理、大玉管理顧問公司陳玉如執行長

因應「資安即國安」的政策,相關法規及措施陸續出爐,加速民間產業對資安防護的投資,包括推動以三年為期的企業資安租稅獎勵,在短期內帶動國家整體資安防護能力的提升。如何把握這個契機,善用投資抵減來建立及強化資安縱深,將是企業的優先要務。

果核數位公司資安顧問許程豐以報導統計數據說明,台灣有四項資安威脅被偵測到的數量位居全球前五名,包括勒索攻擊、惡意連結、手機資安事件及智慧家庭連網的內外部攻擊,提升使用者的資安認知及善用資安解決方案必須雙線並進。

資安投資抵稅條例大解析

根據111年度公布的產業創新條例增修第10-1條,為優化產業結構達成智慧升級轉型並鼓勵多元創新應用,投資於自行使用之全新智慧機械、導入第五代行動通訊系統,以及資通安全產品或服務之相關全新硬體、軟體、技術或技術服務,可抵減應納營利事業所得稅額。

其中,資通安全產品或服務的適用投抵時間為111年度至113年度,最近三年內無違反環境保護、勞工或食品安全衛生相關法律且情節重大情事之公司或有限合夥事業皆可申請。在當年度應繳稅額的30%之範圍內,於下述兩種折抵方式中,擇一使用:

  • 於支出金額5% 限度內,抵減「當年度」應納營利事業所得稅額。

  • 於支出金額3% 限度內,自「當年度起三年內」抵減各年度應納營利事業所得稅額。

普華商務法律事務所蔡孟祥協理指出適用本條規定之資安投抵,於申請年度先抵稅,核定年度再針對不符合資安投抵之部分補繳,而仍有類似緩課之優點。而且,申請這項抵減還可再適用產業創新條例第23-3條的未分配盈餘稅減除。

舉例來說,資安投資支出1千萬元的5%為50萬,當年度應繳稅額若為1百萬,最大投抵額度為30萬,低於50萬,因此可抵減30萬所得稅;當年度應繳稅額若為300萬元,最大抵減額度為90萬,高於50萬,因此可抵減50萬所得稅。

從實務面看資安產品及服務的抵減認定

從申請作業流程看,蔡協理提醒申請資安投抵須注意事項,說明如下。

首先,工業局負責審核資安產品及服務是否符合規定標準,稅務機關負責審核費用合法性以及完整性,意即如無法通過工業局認定之項目,稅局即以不適用而該項目之支出剔剃。

其次,工業局只接受線上的電子申請,申請人須先申請工業局線上申辦系統之會員,再以會員完成線上申報。完成線上申請後,無法撤回、變更或補正資料。再其次,申請工業局審定資通安全的申辦時間為報稅前三個月開始受理申請,以曆年制來看為2月1日至5月31日。一旦逾時,即無法申報,申請人須把握時間。

工業局審查期限為申請後七個月,可延長兩個月,一旦工業局審定完成,會將審定結果登錄在系統。即當年度12月31日前,工業局可能完成審定,申請人應該上系統查詢,避免延誤救濟期間。

申請時,須符合當年度全新購置並備齊申請所需文件,包括公司基本資料、投資計畫和相關證明文件。全新購置是只當年度指向他人購買、融資租賃、委由他人製作或自行製作。其中,當年度則以交貨、建置完成或技術服務完成日期作為認定基礎。不同以往,通常以付款年度做為認定基礎的方式不同,換言之,無法提供交貨證明會有遭剔除的疑慮。

資安產品及服務的認定標準,主要是參考美國國家標準暨技術研究院之原則(NIST),包括辨識、保護、偵測、回應及復原等五大防護能力之軟體、硬體、技術及技術服務。也就是說,單純的網路通訊產品如路由器、基地台等並無法直接被界定維茲安產品或服務,需證明這些網路通訊產品或服務構成資安產品或服務。另外,安裝於個人電腦的防毒軟體或防火牆也不在本次條例認定的抵減項目。

另外,雲端的資安服務被視為技術服務,滿足上述辨識、保護、偵測、回應及復原等要求,即可列為資安投資項目,備齊文件即可提出申請。相對地,資安產品每年的維護合約無法用於申請抵減、單純申請驗證之費用如申請ISO/IEC 27001資安驗證之費用,以及顧問費等則不適用於抵減項目。

因應資安攻擊趨勢持續強化防護

分析當前的資安威脅趨勢,持續翻新的勒索病毒商業模式是最主要的資料竊取與勒索管道,值此同時,企業增加對雲端的使用但毫無章法地引進新工具,風險指數也隨之遽增。此外,隨著員工愈來愈習慣於混合辦公模式,傳統內外分明的企業網路邊界不再。

果核數位資安顧問許程豐指出,單一面向解決方案的網路資安策略已無法滿足企業需求,人才短缺和產業法規也讓企業面臨的資安挑戰雪上加霜,以業界準則如MITRE提出的企業ATT&CK矩陣進行資安縱深全景規劃,已是刻不容緩的課題。

果核數位團隊以累積近20年的專業經驗為基礎,建議企業以零信任為前提來建立更安全的網路基礎架構,完整涵蓋端點、應用程式、主機、網路、Web和企業邊界。除了技術面的改善,也需要從制度面加強資訊安全管理,建立符合ISO/IEC 27001國際標準的規範,並考量產業特性與其他法規要求,以達到全面的資安防護。

值得一提的是,果核數位的服務項目除了可以完整對應ISO/IEC 27001的控制措施,同時也透過產業資安藍圖來協助企業擬定短中長期資安規劃,並以成熟度、實踐面、技術面與管理面為輔佐,持續檢視及強化企業的資安防禦力,進而打造安全無虞的網路環境。

熱門新聞

Advertisement