CTI論壇(ctiforum)3月30日消息(記者 李文杰):臺灣許多政府部門(mén)的A級單位都必須取得一張國際資安認證ISO 27001,不論是2005年版的11個(gè)資安控管領(lǐng)域、133項控制措施,或者是2013年改版后的14個(gè)資安控管領(lǐng)域(新增加密及供應鏈關(guān)系管理)、113個(gè)控制措施,這些單位都通過(guò)ISO 27001一套完善的P(規劃)D(執行)C(稽核)A(矯正)流程,不僅提高組織法規遵循的能力,徹底的落實(shí)也有助于減少資安事件、提升IT效能和組織競爭力。
現任臺灣BSI標準驗證公司總經(jīng)理蒲樹(shù)盛,是資安及稽核業(yè)界領(lǐng)導風(fēng)險管理的資深專(zhuān)家,對于ISO 27001在臺灣普及化的過(guò)程,更是重要推手之一,而他也將于4月初,在iThome舉辦的臺灣資訊安全大會(huì )中擔任講者。
蒲樹(shù)盛專(zhuān)長(cháng)個(gè)資管理、資安管理、營(yíng)運持續管理、業(yè)務(wù)流程管理和質(zhì)量管理等領(lǐng)域,并長(cháng)期擔任政府和企業(yè)教育訓練講師與諮詢(xún)顧問(wèn),他認為,當有8成以上企業(yè)都擔心面對網(wǎng)絡(luò )攻擊和IT服務(wù)中斷的風(fēng)險時(shí),若能夠參考適當的國際標準并落實(shí)在組織的流程環(huán)節中,都有助于強化企業(yè)防御能力和競爭力。以下為書(shū)面采訪(fǎng)內容:
企業(yè)若要做到持續營(yíng)運,面臨哪些重要的風(fēng)險呢?
綜合世界經(jīng)濟論壇(WEF)2015 Global Risk Report及英國標準協(xié)會(huì )(BSI)與英國營(yíng)運持續學(xué)會(huì )(BCI)最新的2015研究報告的結果,全球企業(yè)近年來(lái)都共同面臨3個(gè)重要的企業(yè)風(fēng)險,包括網(wǎng)絡(luò )攻擊(Cyber Attack)、無(wú)完善計劃的IT及通訊中斷(Unplanned IT and Telecom Outages)和資料外泄(Data Breach)。
若以英國營(yíng)運持續組織一年一度、針對全球760個(gè)企業(yè)于組織做的地平線(xiàn)掃瞄報告(BCI Horizon Scan)為例,準備方面進(jìn)行評估,發(fā)現超過(guò)8成(82%)的營(yíng)運持續專(zhuān)業(yè)管理人都對網(wǎng)絡(luò )攻擊事件心懷恐懼,也有8成(81%)擔心缺乏完善計劃的IT及通訊中斷;也有75%擔心如索尼影業(yè)(Sony Pictures)在2014年發(fā)生的資料外泄事件。
另外,根據「2014 Ponemon 網(wǎng)絡(luò )犯罪的代價(jià)」報告更指出,平均全球每家公司花在防范網(wǎng)絡(luò )犯罪上的年度成本為760萬(wàn)美金,且每年以超過(guò)1成(10.4%)的成長(cháng)率持續增加。
對企業(yè)而言,又該如何克服持續營(yíng)運所面臨的風(fēng)險?
組織面對上述企業(yè)常見(jiàn)風(fēng)險時(shí),千萬(wàn)不能心存僥幸或過(guò)度自信,除了要確實(shí)意識到這些威脅外,利用營(yíng)運沖擊分析(Business Impact Analysis,BIA)的手法鑒別出哪些事組織中的關(guān)鍵系統及關(guān)鍵業(yè)務(wù)流程,也必須正確定義最大可容忍中斷時(shí)間,整備預防中斷及緊急應變所需資源,建立營(yíng)運持續計劃(BCP)程序,落實(shí)演練,防患于未然。
以高科技制造業(yè)為主的臺灣產(chǎn)業(yè),持續營(yíng)運思維如何落實(shí)相關(guān)在供應鏈管理呢?
從食安、工安及國際客戶(hù)的要求趨勢來(lái)看,供應鏈管理已是企業(yè)必須認真面對的課題。臺灣企業(yè)若要開(kāi)始建立供應鏈管理制度,可以從下面3個(gè)步驟進(jìn)行。
首先,必須了解客戶(hù)及法令要求,例如,電子業(yè)有EICC要求,國際知名品牌客戶(hù)(蘋(píng)果Apple、耐吉Nike及沃爾瑪Walmart等),都有各自不同的特定規范。
其次,要鑒別企業(yè)目前符合客戶(hù)和法令的狀況為何,除了可以采行自我評估外,也可以委托專(zhuān)業(yè)第三方機構進(jìn)行差異分析,確實(shí)了解目前的不符合及弱點(diǎn)狀況,尋求改善機會(huì )。
最后,必須通過(guò)建立制度以提升競爭力,避免頭痛醫頭的單點(diǎn)改善模式,建立可長(cháng)可久的管理制度,就可以參考采用ISO國際通用標準,并運用PDCA流程,建立所需要的制度。
既有的資安、風(fēng)險或是持續營(yíng)運相關(guān)等國際標準,對組織又有何幫助呢?
國際標準制定了產(chǎn)品或服務(wù)對環(huán)境、安全或健康等層面的最低需求,而且通過(guò)這樣的國際標準,可以在全世界范圍內統一使用。
因此,對組織而言,不論是資安、風(fēng)險或者是持續營(yíng)運相關(guān)的國際標準,首先強調的都是組織管理團隊的正確認知,管理階層具備好的領(lǐng)導力(Leadership),就可以從策略面、管理面及技術(shù)面進(jìn)行思考及整備;再者,因為組織資源有限,組織必須有策略的分派任務(wù)以免浪費資源,就必須先做到鑒別組織內風(fēng)險優(yōu)先順序。
第三,國際標準要能夠落實(shí),所有人員必須善盡本分、遵守規定,當責(Accountability)很重要,否則就會(huì )形成資安漏洞。最后,科技日新月異,風(fēng)險與科技進(jìn)步總是伴隨發(fā)生,唯有時(shí)時(shí)掌握新知,持續關(guān)切科技風(fēng)險,才能夠及時(shí)對應、尋求相對安全能力。
2015年最嚴重的資安威脅為何?
科技的進(jìn)步帶來(lái)風(fēng)險的增加,無(wú)疑地,IOT、BYOD、Cloud Computing及Big Data等應用,將是未來(lái)資安最大挑戰且包羅萬(wàn)象。
和其他國家對于資安防御的能力,臺灣的評分為何?
以國家投入資源及成效綜觀(guān),在資源嚴重不足,只能憑借相關(guān)單位及供應商慘澹經(jīng)營(yíng),我國的資安防御屬于中上程度,實(shí)屬不易。
但反觀(guān)美國政府在2015年政府預算項目中,光是網(wǎng)絡(luò )安全(Cyber Security)這個(gè)項目中,政府投資就已經(jīng)超過(guò)160億美金,創(chuàng )下空前紀錄,但臺灣的資訊及資安預算,仍相對落后于美、中、日、韓等國。真的要落實(shí)資安防護,政府如何在既有的資源調度上,能夠落實(shí)資安防護的提升,是政府的一大考驗。
