疫情加速企業組織轉型,電子商務、數位交易等數位化服務不僅持續成長且已是不可避免的趨勢。然而,隨之而來的是如何確保企業組織的資訊服務安全無虞,並取得客戶和民眾的信任,讓「數位信任」議題變得非常重要。BSI 英國標準協會營運長謝君豪於此次年會針對數位信任分享了最新趨勢見解,與國際標準ISO/IEC 27001轉版重點剖析,協助企業組織更清楚瞭解在迎接新的數位浪潮之際,如何做好萬全準備。
謝營運長引用了世界經濟論壇 (WEF)《2022全球風險報告》,指出當企業組織的數位化程度越高,對資訊技術 (IT) 的依賴度就越高,於此同時,整個資安或網路的脆弱程度也會隨之加大。報告也指出勒索軟體的攻擊數量於近幾年大幅攀升,在台灣有許多大型企業也蒙受其害,然而駭客攻擊手法日新月異,即便企業組織資安做得滴水不漏,難保不會因為人為因素而不小心導致資安漏洞或數據外洩,其中,有95%的網路安全議題 (Cybersecurity issue) 可歸究於「人員的錯誤」(human error),其中可能包含正職員工、約聘僱與委外廠商有意或無意所導致,企業組織更應投入足夠的資源,加強全員的資安防範意識。
資安是所有員工和委外廠商的共同責任
謝營運長表示過往普遍認為資安是資訊或資安部門的責任,然而現在由於主管機關的強力要求,對上市櫃公司來講,資安已是全體員工的責任。從對議題的關注來看,也可發現不論是業務面的高階主管,如:執行長、營運長、財務長,或負責推動資安的高階主管,如:資安長及資訊長,對於議題關注的程度是趨於一致,皆認為來自數位轉型、第三方軟體攻擊,和惡意軟體攻擊是造成公司重大的資安挑戰,但兩者對法規的要求與感受卻落差很大。無論如何,在推動資安相關措施時,企業組織都需要關注勒索軟體 (Ransomware)、社交工程 (Social engineering) 和惡意內部人包括委外廠商的行為 (Malicious insider activity),這三個重要也是全球最關注的網路攻擊威脅,並做好資安事故應變措施 (incident response),以因應隨時都有可能會發生的資安事件。謝營運長進一步提醒企業組織在制定資安規範時,應思考做資安是為了資安而資安?還是風險而資安?不應認為把措施訂得很嚴格,就不會發生資安事件。
面對這幾年主管機關在推動資安方面的要求越來越嚴謹,謝營運長也從各個不同的產業領域分享趨勢看法。營運長提醒,政府及主管機關越來越重視資訊安全議題,對於各行各業也開始會有更多資安控管機制建立與強化的要求。以金融與電信產業為例,由於這兩個產業本身對資訊科技的應用較成熟與發達,對資訊安全的敏感度也最高,因此受到主管機關的高度監理,在資安推動與重視的程度上相對也有較多的要求。然而,不論規模大小或資源多寡,只要想提供數位化的金融服務,都需要高度重視資安議題。另外,由於近年來上市櫃公司的資安事件頻傳,政府也開始要求上市櫃公司建立與強化相關資安機制,包含主管機關開始將資安列入上市櫃公司的治理評鑑項目中,並要求上市櫃公司分成三個等級,依照資通安全控管指引做資安強化。
資安需求擴大,企業組織面臨留才挑戰
營運長進一步解釋,資通安全控管指引其實就是依循國際資安標準ISO/IEC 27001所制定,政府在訂定這個指引的主要目的是希望能夠提升上市櫃公司對資安的重視與參與度,讓企業組織能夠透過指引持續推動並逐步強化資安相關控制措施。指引要求按規定凡列為第一級的上市櫃公司,必須在2022年底依法設立資安長、資安主管,並成立至少有兩名專責人員的資安專責單位;第二級公司,需於2023年底前配置資安主管及至少1名的專責人員;第三級公司,則鼓勵配置至少1名的專責人員。因此,也可預期對台灣整體的資安生態和人才需求來說會是正向的成長。
此外,政府和主管機關也會從多個與公司治理、營運,甚至財報有高度關係的面向,來強化上市櫃公司的資安防護,包含:主管機關已修訂相關法規,要求上市櫃公司於發生重大資安事件時,應即時發布重大訊息;證券主管機關開始要求證券業要將資安議題納入永續發展藍圖等。促使企業組織必須更清楚地鑑別有哪些關鍵議題會對公司造成影響,進而滿足環境社會治理面向。謝營運長從國際永續發展趨勢報告結果發現,無論高科技公司、金融業、電信業等各行各業,都已視資安為影響公司經營的重要關鍵議題之一。顯示資安若做得不好,影響的可能不僅會是民眾、股東、企業及主管機關的信任度,也可能進而會為公司帶來更大的風險與挑戰。
