如何強化組織韌性？BSI認為關鍵在於打造數位信任及永續的環境

隨著資安邊界持續改變，所有的組織都必須轉型成為具備「韌性」的組織。在經歷疫情的衝擊，BSI東北亞區總經理蒲樹盛指出，2021年的詐騙簡訊超過56億筆，平均每個人三天之內就會接到兩通簡訊；而2022年則發現，全國詐騙案件數量大幅攀升，若以排名前三名的全國詐騙案件來看，分別是假網拍詐5,626件，投資詐騙4,891件，以及各類解除分期詐騙的ATM與網銀騙匯4,281件，最特別的是投資詐騙，造成全臺民眾財損高達20億6,484萬元，財損金額更是歷史新高。

詐騙橫行也意味著「信任」成為稀有財，蒲樹盛表示，數位信任是臺灣社會面對的最大挑戰，而數位信任若能結合ESG，就可以打造組織的韌性，「這不只是企業轉型面臨的壓力，也可以是巨大的商機。」他說。

打造具備數位信任的環境

若以世界經濟論壇（WEF）總結的全球風險報告來看，未來最可能發生的風險除了極端天氣、氣候行動失敗、人為導致的環境破壞、生物多樣性消失外，還包括數位力量集中、數位不平等、網路安全失效，以及科技治理失敗；未來影響最大的風險則包括：傳染病、氣候行動失敗、其他環境風險、大規模殺傷性武器、生計危機、債務危機，以及IT基礎架構崩潰。

蒲樹盛認為，不管是DDoS（分散式阻斷式攻擊）或是APT攻擊等網路威脅，最終都會牽涉到IT基礎架構的穩定性，倘若面臨關鍵基礎設施服務中斷的風險，甚至可能是戰爭爆發的緣起，例如俄羅斯在冬天入侵烏克蘭的天然氣系統。這時候，大者恆大的數位強權往往具備相對的優勢。

政府為了提高組織的韌性，也著手形塑臺灣企業環境的數位信任，蒲樹盛援引金管會推動的《金融資安行動方案》為例，其中包含四大工作項目及十三個工作小項目，顯見政府已經積極藉由推動產業資安，進一步達到形塑企業的數位信任。

首先，在資安制度的項目上，最重要的措施包括：形塑金融機構重視資安的組織文化；完備資安規範；強化資安監理職能；以及加强金融資安檢查。蒲樹盛認為，這可以參考ISO 27001等相關的國際標準，作為產業推動資安及打造數位信任的基礎。

其次，深化資安治理的工作項目上，主要是希望做到加强資安管理、強化資安監控，以及加强資安人才培育，這是提升企業領導力；第三，在精實資安韌性的工作項目上，最重要的是，增進營運持續管理量能、加强資安攻防演練、建構資料保全避風港（可參考美國安全港協議，並做到3份備份、存放在2種不同儲存媒體，至少1個存放在異地，才可以達到零失誤的備份原則）。蒲樹盛說，這最主要的參考標準就是營運持續管理的ISO 22301，這也是美國911事件後，許多企業參考的自願性規範。

最後，就是可以發揮資安聯防F-ISAC的優勢，不僅做到資安情資分享與合作，也可以建立金融資安事件應變體系，以及建立金融資安事件監控體，他認為，這是整個產業和企業的團隊合作（Team work）成果。

蒲樹盛笑說，許多企業都會導入ISO 27001資安認證，甚至可以說，臺灣有許多企業的資安作為就是以ISO 27001為核心，這樣的制度，廣度夠，但深度不夠，加上各行業的屬性與強度不一樣，透過所展開的十個面向就是一個兼具廣度和深度的資安生態系，其中也包含各種國際認證，能廣泛滿足各個產業的資安需求。

例如，治理、風險與法遵（Governance、Risk and Compliance）就可以參考ISO 27003、27004、27005、27014、27016以及ISO 31000；在網路安全與資訊安全（Cybersecurity and Information security）面向，也可以參考ISO 27003、27032、27103，以及BS 31111等標準。

其他可以構成資安生態圈的八個面向，也包括：資料保護（Data Protection）、第三方風險管理（Third Party Risk Management）、雲端（Cloud）、網路安全（Network Security）、應用程式安全（Application Security）、弱點管理（Vulnerability Management）、事件管理（Incident Management）和營運持續（Business Continuity），也同樣有相關的國際標準可以參考。

達成淨零碳排目標，打造永續的環境

除了數位信任外，現在隨著氣候變遷及各種新興的法遵與規範，都要求企業必須在2030年做到淨零排碳的目標，就是為了地球環境可以永續發展。

蒲樹盛表示，臺灣在永續發展上目前較不足之處，大概有四個方向，包括：人均碳排10.96公噸太高，2030年減碳目標達成率差，再生能源使用比例低，再生能源達成目標低。目前已經有企業利用資訊系統記錄各種用電、排碳的數位化過程，這些工作的推動，都有利企業進一步掌握距離淨零排碳的目標有多遠。

蒲樹盛表示，對所有的企業而言，都必須要有永續發展的藍圖，以淨零碳排及永續發展為目標，透過PDCA的循環，持續穩定達成永續的目標。

而永續的驅動力分成兩方面，一方面是外部壓力，這也同時是風險和機會，另外就是來自企業內部的關鍵策略，只有重視永續並作為企業的核心，企業才能真正做到以永續為目標。

至於這個永續發展藍圖是不同功能標準的整合，外部壓力包括：社會責任投資（SRI）、全球經濟市場趨勢的轉變、無法預期的氣候變遷和疫情、來自全球及國家的法令法規要求、非政府組織（NGOs）影響力，以及聯合國永續發展的推行。蒲樹盛說，像是聯合國17項發展目標，就是希望可以達到安居樂業，其他像是2030年控制全球升溫攝氏1.5度的目標等外部壓力，都是不會變的要求。

至於來自企業內部的關鍵策略，則包括：強化董事會職能、企業核心價值、達成永續願景、持續創新永續作為、提高資訊透明度、強化利害關係人溝通、接軌國際規範，以及深化永續治理文化。他指出，像是公司強化董事會職能，就會需要撰寫符合GRI準則、可揭露組織非財務資訊方面的永續報告書。

蒲樹盛坦言，組織韌性在未來十年、二十年如何持續？大家必須做到兩件事情，一是永續，另一是數位信任，組織就有足夠的數位韌性和未來。