BSI揭露2019下半年最新國際資安動態，資安與隱私保護成全球企業永續經營評比要點

隨著網路攻擊風險威脅不斷，對於臺灣企業和組織而言，導入資安標準來落實資安，已經是管理面不可或缺的一大關鍵。在今年的英國標準協會（BSI）舉辦的國際資安標準年會上，他們揭露了2019年的國際資安現況觀察，以及資安隱私標準的新趨勢。

網路安全與隱私保護成企業永續經營指標之一

近年來，資安對於企業經營的重要性，不言而喻。在這次國際標準年會上，BSI臺灣總經理蒲樹盛指出，資安已成為企業永續經營重要指標，根據道瓊永續指數（DJSI）年度調查，對於資安與隱私保護的更加重視，就可以看出端倪。

道瓊永續指數是什麼？它是個永續經營的投資評比指標，由美國道瓊指數公司與瑞士資產管理公司RobecoSAM合作，每年在全球挑選3,500家企業參加評選，透過經濟、社會、環境這3大面向的問卷評比，檢視企業經營體質，今年臺灣有99家被邀請，最終共有23家企業入選，比去年多了2家。

與往年不同的是，蒲樹盛指出，在今年道瓊永續指數的問卷中，有一半以上的問題，是聚焦在資訊安全與個資隱私，值得企業持續關切。

事實上，這已經是我們第三次聽到蒲樹盛，提到道瓊永續指數與網路安全的關係，在9月我們進行NIST網路安全框架（CSF）報導的專訪，以及以NIST CSF為主題的CyberSec 101研討會上，他都強調了此事的重要性。

對於今年問卷增加網路安全和系統穩定性，以及隱私保護兩個題組。例如，公司對於IT系統故障與資安事件，是否能夠做出適當反應；以及公司在隱私政策的覆蓋範圍，並確保政策上具備有效實施的機制。BSI台灣分公司營運長謝君豪在後續的議程中，也提出說明。他認為，這樣的態勢其實相當合理，因為，若是企業的資安跟隱私保護做得不好，其實也就代表，企業無法善盡自己該做的責任，而這在整體經濟面上，可能會帶來衝擊。

無論如何，對於道瓊永續指數的評比，臺灣企業可視為自我體檢與衡量時的高標準。而從BSI的說明中，我們瞭解到，評比機構對資安管理與隱私保護的重視程度，將變得明確。

對於道瓊永續指數（DJSI）年度調查，BSI指出今年最大的變化，就是在於資安與網路安全和系統穩定性，以及隱私保護兩個題組，BSI台灣分公司營運長謝君豪也對這五方面有進一步的說明。（攝影／羅正漢）

ISO/IEC 27001仍是基礎，並可透過NIST CSF強化

在這次大會中，另一個值得關注的焦點，是未來國際資安標準的走向。BSI也趁此機會，說明近期值得關注的各項趨勢，組織若要考量如何提升資安治理時，將可作為參考。

對於在國際網路安全標準的發展趨勢，謝君豪分析了相關現況。他先從世界經濟論壇（WEF）全球風險報告，從當中揭露的資安威脅談起－－網路攻擊的威脅持續處於嚴峻的態勢，在國際三大區域東亞與太平洋、歐洲與北美，網路攻擊都是排在第一或第二。同時，在國際資安標準方面，近年在大數據、區塊鏈、物聯網、醫療裝置、自駕車與網路的安全方面，都出現許多正在制定的標準及指引，像是與大數據安全的ISO/IEC 27045，區塊鏈隱私與PII保護的ISO/DTR 23244，以及物聯網安全與隱私的ISO/IEC 27030等，然而，當中多屬於參考性質，不能驗證。

以現況而言，在網路安全與隱私保護方面，仍是企業主要關注面向。首先，在網路安全的管理優化上，謝君豪鼓勵企業，以ISO/IEC 27001安控措施作為基礎，並可參考NIST網路安全框架的要求，進行整體性優化，從識別、保護、偵測、回應與復原5大面向，做好必要的控管，下一步，再以提升資安治理成熟度為方向。

而在做完NIST CSF之後，下一步，他認為今年發布的Cyber Insurance資安保險ISO/IEC 27102的標準指引，將很有幫助，若企業要透過買保險來降低風險，當中提供了相當多實用的建議，即便產險公司要設計資安保險也能從中參考。不過，謝君豪也指出，資安保險在臺灣受重視程度不足，因為國內企業資安事件發生時，不論在是通報主管機關、告知客戶的落實，以及提供賠償服務方面，都與國外有很大差距。

以ISO 27001而言，它是目前國際公認的資訊安全管理體系，能讓組織建立完整的管理制度，並從風險的角度實施所需的控制措施。對於已經導入像是ISO 27001的組織，能在藉由NIST網路安全框架的控制類別，與成熟度評估的方式，進一步強化網路安全。（圖片來源／BSI）

今年資安標準新焦點是ISO/IEC 27701

關於隱私保護方面，蒲樹盛表示，現在全球132個國家有隱私保護法案，因此幾乎主要國家都有相關法案，以法律遵循的角度來看，企業勢必都要遵守，但是，要用哪一項標準來涵蓋這些法遵事項？今年新推出的ISO/IEC 27701，著重隱私資訊管理，就是焦點。

對於隱私保護標準的導入，謝君豪也具體說明。他指出，BS 10012最新版是最具參考的指標，原因在於，該標準針對蒐集、處理、利用方面，都有完整的保護，最符合GDPR的精神。若是企業覺得不足，他也建議可以參考其他的標準，包括針對資通訊系統隱私權框架保護的ISO/IEC 29100，以及ISO/IEC 27000系列，其中ISO/IEC 27701是重點。

根據謝君豪的說明，ISO/IEC 27701是ISO/IEC 27001，以及ISO/IEC 27002的擴展，並加上ISO/IEC 29100所設計出來的，能對應一些國際標準與指引。他強調，這項標準整合了參考用的內容，以及驗證用的要求，因此可以被驗證。

企業若要快速找出導入ISO/IEC 27701的重點，謝君豪建議，應研究其中的附錄A與附錄B，可作為企業在依循時的關鍵，這裡分別針對PII控制者與處理者，說明特定控制目標及控制措施。

他並說明，如果組織已經導入ISO/IEC 27001，後續再做必要強化時，會比較容易，因此，他分析了若要進一步做ISO/IEC 27701的導入或驗證時，必須關注的重點。例如，在ISO/IEC 27701的5.2與5.4條款中，就針對隱私保護管理有訂定額外要求，將可對應到ISO/IEC 27001的第4與第6條款；而在ISO/IEC 27701的第6.2到第6.13與第6.15條款中，已經有訂定額外的指引建議，可對應到ISO/IEC 27002中的第5到第16與第18條款。

另外，謝君豪也補充兩個建議，是關於導入ISO/IEC 27701時的注意事項，首先他說，若企業沒有BS 10012的基礎，在蒐集、處理、利用這一塊，可能會相對辛苦，其次，他認為如果企業本身ISO/IEC 27001的範圍太小，這時也應認知到一件事，應把認證範圍擴大。

對於國際資安標準在隱私保護的發展，BSI臺灣分公司營運長謝君豪看好BS 10012，因為對於蒐集、處理、利用具有優勢，而今年新的ISO/IEC 27701標準也是重點，結合了參考與驗證要求。（攝影／羅正漢）

呼籲企業進行資安標準驗證時，應符合目的與使用

對於國內企業與組織的資安管理現況，BSI認為，還有不少挑戰需要克服。從他們的觀察中，可以看出不少問題。例如，今年是臺灣資安管理法施行第一年，但蒲樹盛表示，他拜訪客戶時，仍有組織高層不知資安法規定，例如，A級單位要有4個專職資安人力；而知道這件事的單位，卻面臨找不到足夠人力的困難。也因此，資安人才在市場上非常缺乏，所以，他也鼓勵年輕的人朝資安領域精進。

在資安標準的落實方面，謝君豪也不斷強調，資安不是有做就好，這只是最低基本要求，要做到真的符合「目的」與符合「使用」。

例如，企業在導入資安標準並驗證時，有的在第一年會先從研發部門做起，因為他們認為這是公司的命脈，而資訊單位是配合研發，因此要先知道研發的需求，他認為這是很好的觀念。而不該像一些企業是為了驗證而驗證，只以一個機房或小系統為範圍，而拿到證書，就滿足形式上的要求。

其實，上述的問題已經持續了許多年。為何仍無法改善？謝君豪表示，現在臺灣企業時常是直接決定，只驗資訊系統或核心系統，但其實這已經落入畫地自限的狀況，因此，他提出建議，企業應從了解所面臨的內外部議題，來訂定適切的推動範圍，他並強調，「實施範圍」不一定要等同於「驗證範圍」，接下來，並透過風險評鑑，來訂定強化方向及優先順序。

謝君豪指出，知道風險在哪裡很重要，像是企業必須思考，自身在2020年的前十大資安風險為何？他認為，企業要製作出自己的風險地圖，透過國際的標準，或是適切的方法論，至少將企業最關鍵的10個風險鑑別出來，並透過圖表呈現各風險嚴重性，讓老闆能一看就懂，才能有效推動，從策略、管理與技術等多個層面並進，以有效管控風險。

（圖片來源／BSI）