這幾年來政府推動資安即國安戰略,政府除了規範政府機關落實資安,近年也開始推動產業要落實資安,特別是去年底金融監督管理委員會(金管會)透過修法方式,要求公開發行公司需記載資安管理作為,以及要求符合條件的國內上市櫃公司,必須設置資安長或主管及資安人員,促進產業資安的推動,然而,不是每個企業都有良好的資安治理經驗與能量,如何幫助企業不只是被動敷衍政策,真正能將資安治理做好?
事實上,過去政府、企業為了強化產業資安,國內金融業、高科技業已經各自有相關行動,特別的是,在4月28日,台灣資安主管聯盟宣布正式成立,與以往不同的是,這個聯盟的共同發起者,清一色都是企業資安主管,並且來自高科技、金融、電信、製造與服務等多個不同領域。
這個聯盟由14家企業代表所共同發起,包括華碩集團、富邦金控、欣興電子、台達電、新光保全、欣銓科技、聯華電子、元大金控、玉山銀行、康和證券、國泰世華、台新銀行、遠傳電信,以及友達光電,是一個能夠結合多個產業的聯盟,並期盼日後能有更多各公司、產業加入。
目前這個台灣資安主管聯盟會長,由曾擔任聯電資訊長、現為華碩集團資安長的金慶柏擔任,會長之下設有推動委員會,接下來則是4大委員會,並由聯盟副會長負責統籌,例如,由富邦金資安長蘇清偉負責人才培訓委員會,台達電資訊長曾立峰負責政策與法規委員會,以及欣興電子資安長馬光華負責推廣服務委員會,至於供應鏈委員會負責人目前尚未公布。從組織架構的設計來看,也顯現該聯盟當前所聚焦的重點,包括:人才培訓、政策與法規、資安實務推廣,以及供應鏈等。
此外,之前已有推動「資安應用服務聯盟」等經驗的台北市電腦公會,也將協助台灣資安主管聯盟運作,扮演聯盟中秘書處的角色,包括承接金管會的部分要求,協助多方溝通,以及負責聯盟的工作規畫與推動任務。
整體而言,台灣資安主管聯盟的這個組織的出現,希望能夠因應金管會資安重大政策要求,聯合產業多家公司之力,共同從公司資安治理角度,增進各產業資安主管的資訊安全技術應用與經驗交流、培育資安專業人才,以及法規遵從,幫助整體國內產業提升資安韌性,同時透過公私協力強化產業零信任資安防護,進而促使企業永續發展。
對於台灣資安主管聯盟的成立,政府也看重產業發起這樣的行動,包括行政院副院長沈榮津、行政院政務委員唐鳳都出席致詞,看來也是隱含公私協力的意味,相互借力與合作,希望產業間也能從多個角度,幫助國內更多企業做好資安。事實上,過去市場上已經發展出資訊長的交流平臺,資安長也同樣需要這樣的環境。
在金管會、證交所與櫃買中心對於資安的法規要求,以及近年上市櫃公司接連發生多起資安事件的狀況之下,在政府單位支持下,多家企業2022年4月合作成立台灣資安主管聯盟,不只徵求政府意見,同時也邀集包含資安、法律與四大會計師管理顧問,以及學界專家群,讓聯盟不只是產業本身閉門造車。
台灣CISO聯盟有4大目標,養成資安主管核心能力居首,並要建立專業資安人才培訓
想要推動資安,需要有足夠與專業的人力、人才、人物。在該聯盟成立大會上,金慶柏表示,從臺灣資安人力的現況來看,包括政府單位、民間企業、資安服務廠商的需求,只達到69%,共缺少超過4萬人,因此,面對人才不足,以及上述政策法規遵循的問題,「台灣資安主管聯盟」主要聚焦於4大面向:
第一,資安主管核心能力養成,須配合公司的數位轉型。
第二,專業資安人才培訓整備,不論是現在公司內IT部門或從其他部門轉調到資安單位,相關證照訓練也是未來推動目標。
第三,資安產業服務能量鏈結,臺灣約有400家資安產品與服務廠商,年營收共約530億元,未來須著重在CISO的角色與相關資安服務能量鏈結。例如,一開始可能以因應CISO需求為主,之後再讓更多資安產業公司成為贊助會員,甚至共同促進資安產業能立足臺灣,面向全世界。
第四,資安治理合規制度建立,配合政府相關政策,協助企業建立資安管理制度符合相關規範。
聯盟已規畫3年工作重點藍圖,招募會員是今年重點之一
針對未來3年,台灣資安主管聯盟現階段也提出工作重點藍圖,他們希望分三年三階段,逐步強化企業防護架構。
成立的第一年,台灣資安主管聯盟有那些目標?共有4項重要工作,我們認為有兩大重點最受關注,分別是針對企業執行長(CIO)的活動,以及針對資安主管的培訓。具體而言,聯盟將透過舉辦資安實務交流活動的方式,來強化企業執行長對資安認知與支持;而培訓資安主管的主要目標,是擬定資安策略與資源配置的能力。
另外,還有兩項工作也將同步進行,像是為了加速企業符合法令規範,將彙整產業資安治理現況與需求,建立資訊揭露盤點表並媒合所需資源,以及將研擬供應鏈資安成熟度問卷,幫助企業快速掌握自身防護程度,作為投入資源的準則。
同時,招募更多會員參與,也是今年的重點。金慶柏表示,加入聯盟不需要繳會費,而未來會透過使用者付費的方式來進行 。至於是否聯盟會員只限於上市櫃公司?興櫃、大型未上市公司能否加入?對此,他表示,並沒有限定,他們都歡迎加入聯盟。
至於明後兩年的規畫,還包括提供產業資安人才媒合、建立企業資安治理資訊揭露參考手冊,以及匯集產業資安政策建言,建立資安政策制定影響力,以及強化威脅情資分享機制,並將滾動式調整服務項目等。
產業資安除了從單一產業領域各自推動,更要帶動整體產業
關於台灣資安主管聯盟成立的背景,除了去年底多項資安方面的法規要求,金慶柏還提到,其實在去年7月,華碩已經與10家公司成立了高科技資安聯盟,當時,這個高科技資安聯盟是在科技部、行政院科技會報、TWNIC協助之下成立,隨著國內法規對不同上市櫃公司做出資安要求,也意味著不同產業都要因應,在政府各個部會長官支持之下,今年期望擴大至各產業,因此有了台灣資安主管聯盟的成立。
基本上,現在新成立的台灣資安主管聯盟,可看做去年高科技資安聯盟的擴大版,出席支持聯盟成立的行政院副院長沈榮津也指出,這樣的團體不只是高科技業需要,需擴及其他產業。
如今,隨著台灣資安主管聯盟正式宣布成立,或許能讓更多不同產業在資安治理培訓這一塊,可以更容易分享與交流。金慶柏在會中也特別提到,例如,以臺灣各行業來說,金融資安的推動比高科技還要早,如何將資安課程結合各行各業原有的訓練,將整體能量帶起來;再者,以供應鏈角度來看,由於資安很多敏感議題,若能透過供應鏈委員會讓某些公司集合在一起,將可以做到封閉式的交流,讓企業更願意敏感的資安資訊分享,避免自己的供應鏈也因同樣問題受害。
另外,為了鼓勵更多企業重視資安,金慶柏以過去企業推動品質管理與環境保護的經驗來舉例。他表示,就如同企業界推動ISO 9000國際標準,當時談的是要將品質管理導入供應鏈,並且導入相關合約;再來是環境保護的ISO 14000國際標準,要求像是不能使用有害的物質,而這些也都是經過可能好幾年時間的推廣,並從大公司逐漸擴及中小企業去導入。
資安管理的ISO 27001國際標準也是如此,現在國內就有上千家企業組織導入相關認證,將資安要求納入合約也正興起,像是美國當地的CMMC就是一例,沒有符合所要求的CMMC等級,將不能承包其業務。
台灣資安主管聯盟共同發起名單
任職公司 | 姓名職稱 | 聯盟職務 |
華碩集團 | 金慶柏 資安長 | 會長 |
富邦金控 | 蘇清偉 資安長 | 副會長(負責人才培訓委員會) |
欣興電子 | 馬光華 資安長 | 副會長(負責推廣服務委員會) |
台達電 | 曾立峰 資訊長 | 副會長(負責政策與法規委員會) |
新光保全 | 蕭正鴻 資訊長 | 推動委員 |
欣銓科技 | 周可恆 副主席 | 推動委員 |
聯華電子 | 洪錫興 副總經理 | 推動委員 |
元大金控 | 陳秀美 資安長 | 推動委員 |
玉山銀行 | 劉懷聰 資安長 | 推動委員 |
康和證券 | 張志堅 資訊長 | 推動委員 |
國泰世華 | 吳建興 資安長 | 推動委員 |
台新銀行 | 陳詰昌 資安長 | 推動委員 |
遠傳電信 | 朱建國 資安長 | 推動委員 |
友達光電 | 楊峻程 資安長 | 推動委員 |
資料來源:台灣資安主管聯盟,iThome整理,2022年4月
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23