CTI論壇(ctiforum)3月30日消息(記者 李文杰):臺灣許多政府部門的A級單位都必須取得一張國際資安認(rèn)證ISO 27001,不論是2005年版的11個資安控管領(lǐng)域、133項控制措施,或者是2013年改版后的14個資安控管領(lǐng)域(新增加密及供應(yīng)鏈關(guān)系管理)、113個控制措施,這些單位都通過ISO 27001一套完善的P(規(guī)劃)D(執(zhí)行)C(稽核)A(矯正)流程,不僅提高組織法規(guī)遵循的能力,徹底的落實也有助于減少資安事件、提升IT效能和組織競爭力。
現(xiàn)任臺灣BSI標(biāo)準(zhǔn)驗證公司總經(jīng)理蒲樹盛,是資安及稽核業(yè)界領(lǐng)導(dǎo)風(fēng)險管理的資深專家,對于ISO 27001在臺灣普及化的過程,更是重要推手之一,而他也將于4月初,在iThome舉辦的臺灣資訊安全大會中擔(dān)任講者。
蒲樹盛專長個資管理、資安管理、營運持續(xù)管理、業(yè)務(wù)流程管理和質(zhì)量管理等領(lǐng)域,并長期擔(dān)任政府和企業(yè)教育訓(xùn)練講師與諮詢顧問,他認(rèn)為,當(dāng)有8成以上企業(yè)都擔(dān)心面對網(wǎng)絡(luò)攻擊和IT服務(wù)中斷的風(fēng)險時,若能夠參考適當(dāng)?shù)膰H標(biāo)準(zhǔn)并落實在組織的流程環(huán)節(jié)中,都有助于強(qiáng)化企業(yè)防御能力和競爭力。以下為書面采訪內(nèi)容:
企業(yè)若要做到持續(xù)營運,面臨哪些重要的風(fēng)險呢?
綜合世界經(jīng)濟(jì)論壇(WEF)2015 Global Risk Report及英國標(biāo)準(zhǔn)協(xié)會(BSI)與英國營運持續(xù)學(xué)會(BCI)最新的2015研究報告的結(jié)果,全球企業(yè)近年來都共同面臨3個重要的企業(yè)風(fēng)險,包括網(wǎng)絡(luò)攻擊(Cyber Attack)、無完善計劃的IT及通訊中斷(Unplanned IT and Telecom Outages)和資料外泄(Data Breach)。
若以英國營運持續(xù)組織一年一度、針對全球760個企業(yè)于組織做的地平線掃瞄報告(BCI Horizon Scan)為例,準(zhǔn)備方面進(jìn)行評估,發(fā)現(xiàn)超過8成(82%)的營運持續(xù)專業(yè)管理人都對網(wǎng)絡(luò)攻擊事件心懷恐懼,也有8成(81%)擔(dān)心缺乏完善計劃的IT及通訊中斷;也有75%擔(dān)心如索尼影業(yè)(Sony Pictures)在2014年發(fā)生的資料外泄事件。
另外,根據(jù)「2014 Ponemon 網(wǎng)絡(luò)犯罪的代價」報告更指出,平均全球每家公司花在防范網(wǎng)絡(luò)犯罪上的年度成本為760萬美金,且每年以超過1成(10.4%)的成長率持續(xù)增加。
對企業(yè)而言,又該如何克服持續(xù)營運所面臨的風(fēng)險?
組織面對上述企業(yè)常見風(fēng)險時,千萬不能心存僥幸或過度自信,除了要確實意識到這些威脅外,利用營運沖擊分析(Business Impact Analysis,BIA)的手法鑒別出哪些事組織中的關(guān)鍵系統(tǒng)及關(guān)鍵業(yè)務(wù)流程,也必須正確定義最大可容忍中斷時間,整備預(yù)防中斷及緊急應(yīng)變所需資源,建立營運持續(xù)計劃(BCP)程序,落實演練,防患于未然。
以高科技制造業(yè)為主的臺灣產(chǎn)業(yè),持續(xù)營運思維如何落實相關(guān)在供應(yīng)鏈管理呢?
從食安、工安及國際客戶的要求趨勢來看,供應(yīng)鏈管理已是企業(yè)必須認(rèn)真面對的課題。臺灣企業(yè)若要開始建立供應(yīng)鏈管理制度,可以從下面3個步驟進(jìn)行。
首先,必須了解客戶及法令要求,例如,電子業(yè)有EICC要求,國際知名品牌客戶(蘋果Apple、耐吉Nike及沃爾瑪Walmart等),都有各自不同的特定規(guī)范。
其次,要鑒別企業(yè)目前符合客戶和法令的狀況為何,除了可以采行自我評估外,也可以委托專業(yè)第三方機(jī)構(gòu)進(jìn)行差異分析,確實了解目前的不符合及弱點狀況,尋求改善機(jī)會。
最后,必須通過建立制度以提升競爭力,避免頭痛醫(yī)頭的單點改善模式,建立可長可久的管理制度,就可以參考采用ISO國際通用標(biāo)準(zhǔn),并運用PDCA流程,建立所需要的制度。
既有的資安、風(fēng)險或是持續(xù)營運相關(guān)等國際標(biāo)準(zhǔn),對組織又有何幫助呢?
國際標(biāo)準(zhǔn)制定了產(chǎn)品或服務(wù)對環(huán)境、安全或健康等層面的最低需求,而且通過這樣的國際標(biāo)準(zhǔn),可以在全世界范圍內(nèi)統(tǒng)一使用。
因此,對組織而言,不論是資安、風(fēng)險或者是持續(xù)營運相關(guān)的國際標(biāo)準(zhǔn),首先強(qiáng)調(diào)的都是組織管理團(tuán)隊的正確認(rèn)知,管理階層具備好的領(lǐng)導(dǎo)力(Leadership),就可以從策略面、管理面及技術(shù)面進(jìn)行思考及整備;再者,因為組織資源有限,組織必須有策略的分派任務(wù)以免浪費資源,就必須先做到鑒別組織內(nèi)風(fēng)險優(yōu)先順序。
第三,國際標(biāo)準(zhǔn)要能夠落實,所有人員必須善盡本分、遵守規(guī)定,當(dāng)責(zé)(Accountability)很重要,否則就會形成資安漏洞。最后,科技日新月異,風(fēng)險與科技進(jìn)步總是伴隨發(fā)生,唯有時時掌握新知,持續(xù)關(guān)切科技風(fēng)險,才能夠及時對應(yīng)、尋求相對安全能力。
2015年最嚴(yán)重的資安威脅為何?
科技的進(jìn)步帶來風(fēng)險的增加,無疑地,IOT、BYOD、Cloud Computing及Big Data等應(yīng)用,將是未來資安最大挑戰(zhàn)且包羅萬象。
和其他國家對于資安防御的能力,臺灣的評分為何?
以國家投入資源及成效綜觀,在資源嚴(yán)重不足,只能憑借相關(guān)單位及供應(yīng)商慘澹經(jīng)營,我國的資安防御屬于中上程度,實屬不易。
但反觀美國政府在2015年政府預(yù)算項目中,光是網(wǎng)絡(luò)安全(Cyber Security)這個項目中,政府投資就已經(jīng)超過160億美金,創(chuàng)下空前紀(jì)錄,但臺灣的資訊及資安預(yù)算,仍相對落后于美、中、日、韓等國。真的要落實資安防護(hù),政府如何在既有的資源調(diào)度上,能夠落實資安防護(hù)的提升,是政府的一大考驗。