【臺灣資安大會直擊】企業如何強化資安韌性？BSI建議可以從4大面向做起

近年來，資安已成為企業管理不容忽視的一環，如今，更可看到資安議題擴大成為企業永續經營的重要指標，而從道瓊永續指數（DJSI）的年度調查，就可看出端倪。BSI英國標準協會東北亞區總經理蒲樹盛指出，該指數的問卷從2019年開始，發生了變化，大幅增加了與資安相關的項目。

1999年，由美國標準普爾道瓊指數公司與瑞士永續集團共同提出的道瓊永續指數（DJSI），是第一個衡量企業永續性能力和風險的指數，這也是評比全球企業永續能力最重要的指標之一。而道瓊永續指數所使用的評比指標，也屢屢成為企業優先自身戰略和治理的重要參考項目。

蒲樹盛表示，從2019年開始，該指數問卷增加與資安相關的項目，涵蓋了隱私保護、資訊安全、網路資安和系統可用性等，且新增的議題中，約百分之五十都與資安有關。從永續指數對資安與隱私保護的重視，即可見，資安對於企業經營的重要性，已不言而喻。

進一步來看資安治理，蒲樹盛先詮釋了治理的義涵，他表示，治理就是管理階層須善盡職責，確保所有制度有效，以保護利害關係人。而企業想要提升資安治理的成熟度，可參考行政院資安處的資安治理成熟度架構，從策略、管理、法遵等面向來著手。

策略面上，高階管理層，也就是董事會和資安長，需訂定明確的資安目標和政策，還有提供預算資源，同時，也要確保企業全體員工都具備了良好的執行力，才能跟隨領導階層達到目標。蒲樹盛強調，企業需把資安視為一種業務來思考，策略面就是思考人和資源的規畫。

接著，他從管理面來談，如何提升資安治理的成熟度。蒲樹盛表示，管理面上相對容易掌握，因企業通常引用不同的國際標準，作為自身的管理規範。但，他也提到，困難點在於落實程度不佳，而且沒有全面實施，缺少了日常管理。

另外，企業也需從法遵面向，提升資安治理成熟度，尤其是金融業。法務與科技分屬不同單位負責，需確保雙方具有相同的語言，如此，法遵長才可支援資安團隊，確保該團隊的作為符合法遵。蒲樹盛觀察，目前臺灣金融業仍存在著法遵和科技兩領域講不同語言的情況，他警告，這很危險，發生問題時，將很難找到資安證據力。

從4大面向強化資安韌性

關於企業如何做資安韌性，蒲樹盛則表示，企業須做到四個面向，包含管理、保護、偵測，以及回應和復原，才能建立韌性。針對管理面向，首先，蒲樹盛表示，企業高階管理者需先具備資安治理思維。換句話說，資安治理就是資安韌性的基礎。

待有了治理思維後，企業高層還需進一步具備資安風險管理的能力。蒲樹盛表示，風險管理已是老生常談，但，許多組織所做的風險管理，實際上與現實脫離。公司面臨最大的資安風險是什麼？蒲樹盛表示，如果有確實做好風險管理，管理者便一定可以回答這個問題，但，他直言：「最大的風險就是，不知道自己的風險。」

蒲樹盛解釋，許多管理者因沒有時間，以及不知道用何種方法做，便直接把風險管理的任務，交予下面執行。他打了個有趣的比方，若是一個家庭做風險管理，有可能交由小孩來預測未來的家庭風險嗎？他強調，高階管理階層一定須親自參與風險管理，才可帶領組織找到正確的方向。

此外，企業也需做好供應鏈管理。他表示，許多企業會覺得自身沒有供應商，但，現今辦公空間裡的事務機器、網路設備，還有關鍵基礎設施等，皆是聯網設備，像是許多影印機會將Log記錄備份在雲端，便可能成為供應商偷取資料的缺口。除此之外，企業也需進行資產管理，在新的資產進入組織時，確實執行檢查及核准的程序，同樣地，報廢舊有資產時，也須完成一定的流程。

第二面向是保護。蒲樹盛表示，企業需訂定保護措施，確保自身免受攻擊威脅，並透過不同的安控措施，像是行動裝置攜帶限制、無線網路連線管制等，提高自身的保護力度。

除了訂定保護措施，企業還需偵測事故，所以，第三面向便是做好偵測工作。蒲樹盛特別以APT攻擊為例，該類型攻擊潛伏期長，平均超過140天，若企業無法於APT潛伏期便偵測異樣，一旦，其發動攻擊，便已來不及阻擋。

最後一項回復和復原面向，蒲樹盛表示，其實就屬企業如何管理事故，他進一步說，企業需確保業務可持續進行，不中斷。企業平時就需落實備援系統的演練，才可在問題發生時，順利切換系統，保持業務的持續性。

蒲樹盛表示，如果企業能做到以上4大面向的要求，就能具備一定的資安韌性，不過他也補充，但有這樣還不夠，企業還要透過一套可以自我評估機制，來了解自身資安韌性的狀態，才能作為持續改善的參考。文⊙黃郁芸