SUROS攜手ITMA 8 / 31 舉辦 「2022資安治理落實實務研討」

為瞭解產業資安治理落實情況，傳遞正確供應鏈管理資安意識，並就法律遵循、管理及自動化技術等面向，深入淺出討論，期待逐步打造堅強穩固之資安堡壘，為產業體系一同升級。SUROS攜手中華民國資訊應用發協會(ITMA)特於2022年8月31日於IEAT國際會議中心舉辦「2022資安治理落實實務研討」活動，邀請產官學專家一同探討相關議題。

近年政府推動「資安即國安」政策，編製計畫努力實施資通安全責任分級作業等相關規定，並由專責單位分權分責，時時督導稽核，說明政府面對數位資訊威脅的高度重視。2021年金管會要求公發公司須依分級標準配置資安人力等措施，期待民間也能建立完善資安架構與方案，說明政府欲努力落實台灣資安實力的決心。近年各國網軍己駭進多個政府機關、通訊媒體及流通等企業，造成對外服務短時間內大量遭受數位攻擊，網站、數位看板遭置換、阻斷等等，代表其資安弱點缺失早已被監控，在特定時刻可影響服務，不僅損及商譽形象，更可能已發生入侵潛伏，機關行政與企業營運都曝露在斷鏈風險之中，實際資安落實情況可能不如預期。 

SUROS為協助ITMA瞭解資安落實議題研討，特進行落實程度大調查，針對國內現今產業與供應商普遍已做好和未做好的項目加以分門別類，提供我們的建議，俾協助組織能更關注其資安投資是否符合組織規模與營業影響度、管理與技術人員是否已建立資產與被攻擊面全景，並提供解決方案建議，以利保護組織資產，降低損失及營運中斷可能。

調查數據

1、 總體調查數據：1282筆

2、 資安落實平均分數：73分

3、 評分落點：43分至96分

調查項目

• 聯網安全分析

針對雲端安全、傳輸安全性、系統主機及資產信譽四個面向進行調查，瞭解其資料隱私、通信機密、網域/網站主機系統偵測及外部資產信譽鑑別等，是否有存在弱點未察覺，或曝露在外之漏洞。

• 應用程式安全分析

針對外部應用程式安全、社群態勢、表面攻擊、技術與服務、網域攻擊等面向爬搜，瞭解應用程式是否遭受未授權存取或修改等威脅。

調查發現

1、 資安落實存在巨大差異

組織因應規模大小、預算高低，其建置及維護資安環境之作為不同，故造成各產業在資安落實程度存有巨大落差。傳產、百貨零售及能源環境產業等，資安落實情況大多處在平均以下，建議儘速加強防護。

2、 漏洞近在眼前不自知

多數組織因人為疏忽或為節省成本，未適時將系統主機或軟體服務升級、更新，導致漏洞產生，進而可能被有心人士透過該漏洞入侵系統，造成機敏資料被加密/竊取，或失去功能而無法繼續營運。

3、 供應鏈管理漏洞

先進組織或大型企業資訊有賴於自身預算與資源豐沛而防護完備，但相關下游供應商通常資訊預算與資安維運組織不足，供應鏈管理單位是否有落實資安防護稽查?如果廠商已遭滲透潛伏，連接穿透至組織本身，可能造成一連串的資安威脅。

4、 傳統產業須加強資安防護

國內傳產紡織、化工、鋼鐵、塑(橡)膠等行業，大多為民生用品製造端，與大眾生活息息相關。但其資安防護評分表現過半未能達整體均分，建議加強營運決策單位資安意識，從縮限被攻擊面開始做起，制定資安防護策略，以降低營運損失風險。

5、 缺乏具有經驗的管理或技術人力

配置資安人力是許多單位困擾的問題，據媒體報導，整體資安人力缺額高達二萬人。資安治理與資工維運需要考慮的變因複雜，委外管理和採用自動化工具已是不得不面對的趨勢。但委外廠商自身是否資安強度足夠，又回到供應鏈管理課題。

綜上所述，每年進行資安落實調查應有其推展價值，整體的資安意識與防護作為需要產官學一同合作。瞭解更多有關資安落實/防護/法規等相關議題，歡迎報名參加本次活動。

活動日期：2022年8月31日(三)下午13:30-16:30

報名網址：https://reurl.cc/oQ0e3v

地點：IEAT國際會議中心三樓第一會議室(臺北市中山區松江路350號)