臺灣BSI總經理蒲樹盛表示,網路攻擊已經是全球企業最害怕面對的資安風險之一。

圖片來源: 

iThome

臺灣許多政府部門的A級單位都必須取得一張國際資安認證ISO 27001,不論是2005年版的11個資安控管領域、133項控制措施,或者是2013年改版後的14個資安控管領域(新增加密及供應鏈關係管理)、113個控制措施,這些單位都透過ISO 27001一套完善的P(規畫)D(執行)C(稽核)A(矯正)流程,不僅提高組織法規遵循的能力,徹底的落實也有助於減少資安事件、提升IT效能和組織競爭力。

現任臺灣BSI標準驗證公司總經理蒲樹盛,是資安及稽核業界領導風險管理的資深專家,對於ISO 27001在臺灣普及化的過程,更是重要推手之一,而他也將於4月初,在iThome舉辦的臺灣資訊安全大會中擔任講者。

蒲樹盛專長個資管理、資安管理、營運持續管理、業務流程管理和質量管理等領域,並長期擔任政府和企業教育訓練講師與諮詢顧問,他認為,當有8成以上企業都擔心面對網路攻擊和IT服務中斷的風險時,若能夠參考適當的國際標準並落實在組織的流程環節中,都有助於強化企業防禦能力和競爭力。以下為書面採訪內容:

企業若要做到持續營運,面臨哪些重要的風險呢?

綜合世界經濟論壇(WEF)2015 Global Risk Report及英國標準協會(BSI)與英國營運持續學會(BCI)最新的2015研究報告的結果,全球企業近年來都共同面臨3個重要的企業風險,包括網路攻擊(Cyber Attack)、無完善計畫的IT及通訊中斷(Unplanned IT and Telecom Outages)和資料外洩(Data Breach)。

若以英國營運持續組織一年一度、針對全球760個企業於組織做的地平線掃瞄報告(BCI Horizon Scan)為例,準備方面進行評估,發現超過8成(82%)的營運持續專業管理人都對網路攻擊事件心懷恐懼,也有8成(81%)擔心缺乏完善計畫的IT及通訊中斷;也有75%擔心如索尼影業(Sony Pictures)在2014年發生的資料外洩事件。

另外,根據「2014 Ponemon 網路犯罪的代價」報告更指出,平均全球每家公司花在防範網路犯罪上的年度成本為760萬美金,且每年以超過1成(10.4%)的成長率持續增加。

對企業而言,又該如何克服持續營運所面臨的風險?

組織面對上述企業常見風險時,千萬不能心存僥倖或過度自信,除了要確實意識到這些威脅外,利用營運衝擊分析(Business Impact Analysis,BIA)的手法鑑別出哪些事組織中的關鍵系統及關鍵業務流程,也必須正確定義最大可容忍中斷時間,整備預防中斷及緊急應變所需資源,建立營運持續計畫(BCP)程序,落實演練,防患於未然。

以高科技製造業為主的臺灣產業,持續營運思維如何落實相關在供應鏈管理呢?

從食安、工安及國際客戶的要求趨勢來看,供應鏈管理已是企業必須認真面對的課題。臺灣企業若要開始建立供應鏈管理制度,可以從下面3個步驟進行。

首先,必須了解客戶及法令要求,例如,電子業有EICC要求,國際知名品牌客戶(蘋果Apple、耐吉Nike及沃爾瑪Walmart等),都有各自不同的特定規範。

其次,要鑑別企業目前符合客戶和法令的狀況為何,除了可以採行自我評估外,也可以委託專業第三方機構進行差異分析,確實了解目前的不符合及弱點狀況,尋求改善機會。

最後,必須透過建立制度以提升競爭力,避免頭痛醫頭的單點改善模式,建立可長可久的管理制度,就可以參考採用ISO國際通用標準,並運用PDCA流程,建立所需要的制度。

既有的資安、風險或是持續營運相關等國際標準,對組織又有何幫助呢?

國際標準制定了產品或服務對環境、安全或健康等層面的最低需求,而且透過這樣的國際標準,可以在全世界範圍內統一使用。

因此,對組織而言,不論是資安、風險或者是持續營運相關的國際標準,首先強調的都是組織管理團隊的正確認知,管理階層具備好的領導力(Leadership),就可以從策略面、管理面及技術面進行思考及整備;再者,因為組織資源有限,組織必須有策略的分派任務以免浪費資源,就必須先做到鑑別組織內風險優先順序。

第三,國際標準要能夠落實,所有人員必須善盡本分、遵守規定,當責(Accountability)很重要,否則就會形成資安漏洞。最後,科技日新月異,風險與科技進步總是伴隨發生,唯有時時掌握新知,持續關切科技風險,才能夠及時對應、尋求相對安全能力。

2015年最嚴重的資安威脅為何?

科技的進步帶來風險的增加,無疑地,IOT、BYOD、Cloud Computing及Big Data等應用,將是未來資安最大挑戰且包羅萬象。

和其他國家對於資安防禦的能力,臺灣的評分為何?

以國家投入資源及成效綜觀,在資源嚴重不足,只能憑藉相關單位及供應商慘澹經營,我國的資安防禦屬於中上程度,實屬不易。

但反觀美國政府在2015年政府預算項目中,光是網路安全(Cyber Security)這個項目中,政府投資就已經超過160億美金,創下空前紀錄,但臺灣的資訊及資安預算,仍相對落後於美、中、日、韓等國。真的要落實資安防護,政府如何在既有的資源調度上,能夠落實資安防護的提升,是政府的一大考驗。

 

相關報導請參考:「臺灣資安大會現場直擊」

熱門新聞

Advertisement