近日舉行的科技業資安高峰座談會,談及資安委員會與產業聯防的實務經驗。(由右至左為國家資通安全會報技術服務中心吳啟文主任、日月光集團(高雄廠)李政傑總經理室暨資訊中心副總經理、華碩電腦金慶柏資安長、威聯通龔化中技術長。)

圖片來源: 

TWCERT/CC提供

高科技業資安事件不斷,如何有效因應成為國內業者關注的議題,儘管多年來,資安界已經提出許多不同面向的資安防護策略,例如,資安標準的全公司導入與驗證,打造企業內部的CSIRT團隊,設置資安長,建立企業資安成熟度評估機制,以及紅藍隊攻防演練等,但如何持續強化資安管理與防護,仍是企業持續關注的議題。

在11月初舉行的台灣資安通報應變年會上,日月光副總經理李政傑、華碩資安長金慶柏,以及威聯通技術長龔化中,談到幾個提升企業資安的關鍵,包括:企業內部資安委員會的成立過程與經驗,資安政策的推動,以及進行聯防的角度可從組織、集團擴展到產業,加上公私部門協力,還有資安產業聯盟的推動等,這些高科技公司內部的實務經驗,相當難得。

雖然座談內容未對外公開,但這些資安實務經驗,確實提供現場與會的國內企業,能有更多借鑒或得到啟發的機會。

從這兩年相同議程的主題座談內容來看,也看到新進展。例如,去年大家是提倡PSIRT觀念,也就是打造產品安全應變小組,包括兆勤、群暉與威聯通等資安高階主管出席,期盼促進國內產品設備廠商更重視PSIRT的價值;到了今年,則是從高科技產業防禦與聯防角度切入,期盼帶動更多國內高科技公司落實資安,建立制度並從上而下做起,以及關注現在許多產業都在投入產業聯防的態勢。

設置資安委員會的企業增加,產業聯防趨勢是新浪潮

關於資安委員會設置的議題,我們在近年的國際新聞已看到不少相關消息。舉例來說,2020年雲端視訊業者Zoom一再傳出資安漏洞,並被發現資安功能誇大不實,該公司的商譽與可信度因此受到嚴重衝擊,使得Zoom決定改善公司與產品資安,後續他們也持續公布相關作為,並宣布成立資安委員會(CISO Council),來強化公司的資安治理。

事實上,臺灣也有企業在七八年前或更早,就設置了資安委員會,或是一併設置資安長、資安推動小組及稽核,當然,也有臺灣企業同樣是在遭遇重大資安事件後,才決心這麼作,以強化公司資安治理,而在最近三年間,我們看到國內有越來越多科技與金融公司跟進。

關於聯防的議題,近年政府持續推動強化公私聯防體系,希望借鏡他國的公私聯防經驗,做到落實資安事件通報,以及強化國內資安組織協同合作,並希望建立新的公私協力模式,打造國家資安情資整合及預警中心,以及國內外公私協防機制,並推動地方政府的資安區域聯防。

對於企業與產業界而言,除了從外部與公部門及國際的合作,從公司內部本身的組織聯防到集團聯防,如今更是擴展到產業聯防,這樣的趨勢值得產業重視。

熱門新聞

Advertisement