國際標準 x 數位信任生態系

近年來,台灣的企業看似在ESG方面進步很大,但對比國際來看尚有很大的進步空間。根據COP27公布的最新「氣候變遷績效指標」顯示,台灣名列倒數第7名,主要原因包含人均碳排放量太高、2030年減碳目標訂得不夠積極、再生能源比例太低、以及2030年再生能源的目標訂得太低,被認為缺乏決心與企圖心。
 
台灣中小企業絕大部份與資訊服務相關,其用電量、排碳量在數位化的過程中更占了很大的比例。藉此,BSI英國標準協會東北亞區總經理蒲樹盛於此次年會中與來賓分享企業在建立數位信任的過程中如何能與ESG來做結合。
 
建立數位信任 實現安居樂業之願景
隨著資安邊界不斷在改變,疫情只是觸發了這個現象,人們已經不會只在單純的實體環境辦公,在工作範圍擴大的過程中,就容易讓有心人士或駭客趁虛而入。在去年台灣的調查中顯示全國詐騙案件大幅攀升,甚至創新高超過了20億,即便科技再進步,人民是否真的能夠充滿著信任感?以逐年不斷下降的生孕率來看不言而喻。蒲總經理認為推ESG最大的結果應該是如何能讓大家「安居樂業」,擁有適合生存和工作的環境、穩定的經濟成長以及就業機會,讓年輕人敢於孕育下一代。
 
 
蒲總經理引述世界經濟論壇的全球風險報告,指出在科技方面造成民眾信任感喪失的資安挑戰,可以分成3個主軸來思維:
  1. 網路安全:分為主動和被動,樣態非常多,其中這1、2年非常流行的詐騙勒索病毒、DDOS攻擊,以及APT進階持續性威脅,對於組織的網路安全帶來的挑戰也是最大。
  2. 數位力量:數位應用的過程中,數位力量的強大與否,影響著產業與國家間的競爭力,造成數位強權、大者恆大的局面,也容易發生資料竊取與個資外洩等事件。
  3. 可用性:一旦發生國與國戰爭最先有可能被攻擊的地方就會是關鍵基礎設施。以俄烏戰爭為例,俄羅斯利用冬天入侵烏克蘭的天然氣系統,造成供暖中斷,對國家的傷害非常大,因此關鍵基礎設施在風險中也是非常重要的一環。
瞭解國內政策 接軌國際趨勢
為讓企業更瞭解國內政策與國際趨勢,蒲總經理也先就國內金管會推動的「金融資安行動方案」做分享,並強調建立資安制度及型塑資安文化的重要性,加以導入ISO 27001和其他面向,會是完備資安制度的一個好方法。其次,在深化資安治理項目,蒲總經理表示資安治理與管理最大的差別在於,過去的管理大都落在執行層,但現在幾乎所有與永續、公司、資安治理相關的高層主管,都需要直接向董事會報告,相對地董事會的責任也越來越大。
 
 
針對精實資安韌性的部份,蒲總經理建議企業可依循ISO 22301導入BCM增進營運持續管理,並加強資安攻防演練、建立資料保全避風港,做到異地備援零失誤,當遭遇重大衝擊時,就能維持很好的復原力與彈性應變力,也較不容易被勒索病毒威脅。在發揮資安聯防項目,講的就是所謂F-ISAC,強調團隊合作建立即時資安通報網的重要性。蒲總經理表示金管會列的這4大項目看起來很簡單,但涵蓋的範圍其實就已經非常完整。
 
 
上圖以ISO/IEC 27001為核心,依不同行業屬性與著重的強度所展開的10個面向,進而建立完整的數位信任生態系,組織可依想加強的面向做參考。其中,蒲總經理提醒針對第3方風險管理(Third party risk management),也是組織需重視的地方,因為多數時候即便組織做得很好,但由於供應商尤其中小企業可能受限規模又基於組織對廠商的信任,就容易成為駭客入侵的破口,進而讓組織蒙受風險。
 
另外,弱點管理(Vulnerability management)即組織的脆弱性管理,現在的資通安全管理法裡,會要求ABCD級的組織按特性和應辦事項,每年做滲透測試或至少2次的弱點掃描,就是脆弱性的管理。萬一不幸還是發生事件,事件管理(Incident management)這塊就能提供組織如何做緊急應變與通報,以及如何停損和復原的參考。蒲總經理建議組織每年應針對ISO 27001框架的這10個面向做風險評估健檢,瞭解每個面向是否有比以前做得更好,並將退步或停滯不前的部份深入做改善。
 
 
現在資安已經不再只是組織裡單獨的一部份,在永續發展的過程裡面會有各種不同的部門、功能與標準的整合。會中,蒲總經理分享了永續發展的循環藍圖,並指出企業在提高資訊透明度,除了撰寫GRI、SASB、TCFD報告書,未來亦要揭露在資安方面的作為。道瓊永續指數的問卷裡面從2019年即開始大幅增加資安的問卷,其中網路安全、資料保護及關鍵基礎設施,就與20年前ISO 27001標準發佈時,BSI所強調的CIA(機密性、完整性、可用性)一樣沒變。
 
2015年聯合國訂出了17項永續發展目標,希望以15年的時間讓人類能夠給下一代好的未來,然而疫情打亂了這個進度,整體看起來並不是非常樂觀。現在7年過去了剩下8年的時間,蒲總經理提醒各界國際對於減碳目標的決心與力道只會更強不會減少,因為2030年這個終點線是不會改變,升溫1.5度更是不能跨越的門檻,也因此接下來來自法遵或國際客戶的要求也只會更多。
 
組織在做ESG的同時,可以參考其中的各項標準,在我們數位化的過程中資安最重要的是要如何能夠增加大眾的信任感,而信任感其實就是ESG社會面向S裡很重要的一塊元素,現在全世界的社會凝聚力很差,彼此間的信任感不夠,資訊鑑別的能力也很差,這時候如果大家通通充滿著不信任,那麼我們很多的核心價值、人類生存在地球上的本質意義就會跟著喪失,所以永續是非常重要的部份。
 
在未來的10年甚至20年,永續(Sustainability)與數位信任(Digital Trust)都將是欲強化組織韌性不得不重視的關鍵項目,組織若能將這2塊顧好,就能有足夠的韌性及適應環境的能力,擁有更美好的未來。