從ESG角度著手企業資安管理已成全球共識
─從高階支持資安 才能真正落實ESG

專訪日期：2022.2.22

想像如果有一天我們習以為常，如空氣般存在的網路突然當機，所有Line、email等通訊停擺；明明急著轉帳，網路銀行卻被關閉，得親自到銀行一趟；突然斷電，事情不能做、被卡在電梯、交通打結…這種急迫且高度的不方便感，是否讓你感覺相當氣憤與無奈？在這波全民都能感受到的數位轉型力道之下，產業生態翻轉，也重塑了資安戰場。針對頻傳的資安事件，BSI營運長謝君豪指出：「資安不只是技術問題，攻擊不分國界也不分職位高低，在駭客面前人人平等」。BSI代表英國參與ISO國際組織，是許多ISO標準制定的工作小組成員和主持人、一年發布超過3000個國際標準的領先標準制定者。

在全球化及數位化的大浪潮下，「資訊安全」的定義與價值，對於各組織來說已有巨大的變革，資訊安全如今已是一項重要資產，代表著競爭力，更乘載著組織聲譽。隨著道瓊永續發展指數（DJSI）及台灣企業永續獎等國內外永續獎項開始將資安管理納入評比項目，資訊安全將是 CXO 層級需要更加正視的課題與挑戰。

資訊安全不是資訊部門的責任，日本全組織性的資訊安全，正是台灣需要借鏡的重要觀念

台灣的資訊安全，在日本稱為「情報安全」，從這兩個字面意思，就可以看出不同的定位。日本企業認為，保護情報是讓企業持續運作的重要關鍵，BSI日本的許多企業客戶，對於資訊安全的導入與驗證都是全組織性，即使需要面對相對複雜且更完善部屬的驗證程序，但日本企業堅信，所有人都會接觸到公司重要情報，資訊安全絕對需要，才能永續營運。

「台灣許多企業都把資訊安全當成是資訊部門的安全，但是，如果公司規定員工在上班期間不能用手機、上網、公司筆電不能與家人共用，資料不能上傳Google雲端，而這個規定是由資訊部下達，造成的高度不便，一定讓業務等其他單位大為反彈！『只有從公司高度制定制度，高度執行』，才能夠把資訊安全做好。」BSI營運長謝君豪指出。

借鏡鄰近的日本，台灣企業為什麼需要資訊安全？其實最終也是希望永續營運，「有些觀念很好的客戶，第一個導入資安的單位是研發，因為企業認為研發是公司的命脈，只要資料被竊取就失去競爭力。而資訊部門是與研發部門配合，屬於第二階段，因為如果連公司高層都不知道要保護、控管研發的資訊內容，請問資訊部門為什麼會知道呢？」謝君豪一語道破台灣在資訊安全工作上的沉痾。

法規、客戶、自身要求，台灣推動資訊安全的三大趨動力

謝君豪也直言，現在台灣資訊安全做得比較好的產業，主要來自三大趨動力，第一是主管機關或法規要求，以台灣的資通安全管理法為例，要求的並非只有政府單位，更包含影響全國人民生計的8大關鍵基礎設施產業，例如金融、電信、醫療、交通運輸、科技、油、水、電等。除了法令規定，第二是客戶要求，像是大型跨國企業台灣供應鏈資訊安全的強力要求。第三，自身要求，先行法令，高度自我要求的企業組織，擁有目光前瞻的特質、在強化資訊安全的過程中的確犧牲部分便利性，但在獲得更好安全性的同時，也擴大與同業的競爭力差距。

從ESG角度著手企業資安管理已是全球共識，未來政府勢必將有更多作為，帶動整體產業、跟上時代的腳步。例如，除了上市櫃公司需發布重大資安事件的重大訊息，在年報資訊需揭露資安管理作法，更要求上市櫃公司配置適當的資安人力。此外，更依據公司規模與經營能力，做出不同要求，以第一級而言，符合資本額百億元，前一年底屬台灣50指數成分公司，或主要經營電商、人力銀行等條件的上市櫃公司，必須在2022年底之前，設置資安長並成立專責單位。謝君豪指出，「上市上櫃公司資通安全管控指引」提供上市櫃公司一個最基本的要求與框架，因為任何一個上市櫃公司遇到資訊安全的問題，影響的層面不僅是企業營運、業績、更是公司的品牌與信任感。

從金融業到上市櫃公司，可預期這樣的資安管理要求，也將在供應鏈中延伸發酵，對於許多未上市櫃的公司，也可以先參考「上市上櫃公司資通安全管控指引」，指引的規範相當廣泛，是非常好的資訊安全參考。

老闆要轉念 資安才能落實

2021年台灣科技大廠遭駭客REvil勒索天價5000萬美元，而就在最近，國際GPU大廠也遭勒索軟體攻擊，駭客要求100萬美元，否則將出售並公布其關鍵技術與內部資訊…這一連串的事件都讓企業相當震驚。資安強調「不出事就是最大安全」這個概念無法實際測量，企業老闆常看到資安部門在花錢，但卻無法像是良率、客戶滿意度等指標，可以看到明顯的數據改善。加上許多資安危機都不是立即出現，譬如資料外洩、駭客入侵，都很有可能在2-5年才被發現或發動攻擊，讓資安常面臨「看不到執行效益」的困境。但是，資安問題只要一發生，對企業造成聲譽、營運、業績的立即性衝擊，絕對不輕，資安的超前佈署落實與落實，老闆轉念才是關鍵，值得企業主深思。

企業推動資安也需要進行資安策略的擬定，主要包括三個部分，第一，建立資安策略的高度，而這也是最重要的，譬如設置資安長，成立資安執行委員會，這可以說是企業推行資安決心與共識的展現。第二，訂定一系列的管理制度，第三，投入資源在技術面的提升。

BSI 是資訊安全的領導標準制定者 透過標準讓企業審視自身資安優劣勢

謝君豪指出，公司治理評鑑111年度更新，其中指標 2.24新增「若導入 ISO 27001、CNS 27001等資訊安全管理系統標準，或其他具有同等或以上效果之系統或標準，並取得第三方驗證」可進階加分，鼓勵公司導入國際資安標準並取得外部驗證。BSI是許多ISO標準制定的工作小組成員和主持人、一年發布超過3000個國際標準的領先標準制定者。現在企業使用包括品質、資安、營運持續等多面向國際標準，皆由BSI制定前身標準，經ISO國際標準組織採用後成為ISO標準。以ISO 27001為例，BSI便是透過推廣ISO 27001標準讓更多企業組織使用，以獲得管理上的好處和優勢。惟標準的執行都需要採取PDCA循環，持續改善，BSI在這個部分便以完善的教育訓練和驗證，持續協助企業。

謝君豪認為，資訊安全的深耕對台灣來說，絕對是一條漫長的路，需要更多時間的教育與宣導。2030 年科技與永續的議題將有越來越多的連結，當前全球在訴求的 ESG（環境、社會與治理）作為與資訊科技及資安領域的議題並不牴觸，許多 ESG 解決方案都大幅要求透過數位轉型作為節能減碳的途徑，與數位轉型產生直接及間接的關係。如何運用資訊科技去達成永續目標，隨之而來的資安議題，企業組織要如何將挑戰變為機會，都值得高階主管及 CXO 用新的思維去思考。BSI也絕對是許多台灣企業，在資訊安全系統建立上重要的合作夥伴。