CTI论坛(ctiforum)3月30日消息(记者 李文杰):台湾许多政府部门的A级单位都必须取得一张国际资安认证ISO 27001,不论是2005年版的11个资安控管领域、133项控制措施,或者是2013年改版后的14个资安控管领域(新增加密及供应链关系管理)、113个控制措施,这些单位都通过ISO 27001一套完善的P(规划)D(执行)C(稽核)A(矫正)流程,不仅提高组织法规遵循的能力,彻底的落实也有助于减少资安事件、提升IT效能和组织竞争力。
现任台湾BSI标准验证公司总经理蒲树盛,是资安及稽核业界领导风险管理的资深专家,对于ISO 27001在台湾普及化的过程,更是重要推手之一,而他也将于4月初,在iThome举办的台湾资讯安全大会中担任讲者。
蒲树盛专长个资管理、资安管理、营运持续管理、业务流程管理和质量管理等领域,并长期担任政府和企业教育训练讲师与谘询顾问,他认为,当有8成以上企业都担心面对网络攻击和IT服务中断的风险时,若能够参考适当的国际标准并落实在组织的流程环节中,都有助于强化企业防御能力和竞争力。以下为书面采访内容:
企业若要做到持续营运,面临哪些重要的风险呢?
综合世界经济论坛(WEF)2015 Global Risk Report及英国标准协会(BSI)与英国营运持续学会(BCI)最新的2015研究报告的结果,全球企业近年来都共同面临3个重要的企业风险,包括网络攻击(Cyber Attack)、无完善计划的IT及通讯中断(Unplanned IT and Telecom Outages)和资料外泄(Data Breach)。
若以英国营运持续组织一年一度、针对全球760个企业于组织做的地平线扫瞄报告(BCI Horizon Scan)为例,准备方面进行评估,发现超过8成(82%)的营运持续专业管理人都对网络攻击事件心怀恐惧,也有8成(81%)担心缺乏完善计划的IT及通讯中断;也有75%担心如索尼影业(Sony Pictures)在2014年发生的资料外泄事件。
另外,根据「2014 Ponemon 网络犯罪的代价」报告更指出,平均全球每家公司花在防范网络犯罪上的年度成本为760万美金,且每年以超过1成(10.4%)的成长率持续增加。
对企业而言,又该如何克服持续营运所面临的风险?
组织面对上述企业常见风险时,千万不能心存侥幸或过度自信,除了要确实意识到这些威胁外,利用营运冲击分析(Business Impact Analysis,BIA)的手法鉴别出哪些事组织中的关键系统及关键业务流程,也必须正确定义最大可容忍中断时间,整备预防中断及紧急应变所需资源,建立营运持续计划(BCP)程序,落实演练,防患于未然。
以高科技制造业为主的台湾产业,持续营运思维如何落实相关在供应链管理呢?
从食安、工安及国际客户的要求趋势来看,供应链管理已是企业必须认真面对的课题。台湾企业若要开始建立供应链管理制度,可以从下面3个步骤进行。
首先,必须了解客户及法令要求,例如,电子业有EICC要求,国际知名品牌客户(苹果Apple、耐吉Nike及沃尔玛Walmart等),都有各自不同的特定规范。
其次,要鉴别企业目前符合客户和法令的状况为何,除了可以采行自我评估外,也可以委托专业第三方机构进行差异分析,确实了解目前的不符合及弱点状况,寻求改善机会。
最后,必须通过建立制度以提升竞争力,避免头痛医头的单点改善模式,建立可长可久的管理制度,就可以参考采用ISO国际通用标准,并运用PDCA流程,建立所需要的制度。
既有的资安、风险或是持续营运相关等国际标准,对组织又有何帮助呢?
国际标准制定了产品或服务对环境、安全或健康等层面的最低需求,而且通过这样的国际标准,可以在全世界范围内统一使用。
因此,对组织而言,不论是资安、风险或者是持续营运相关的国际标准,首先强调的都是组织管理团队的正确认知,管理阶层具备好的领导力(Leadership),就可以从策略面、管理面及技术面进行思考及整备;再者,因为组织资源有限,组织必须有策略的分派任务以免浪费资源,就必须先做到鉴别组织内风险优先顺序。
第三,国际标准要能够落实,所有人员必须善尽本分、遵守规定,当责(Accountability)很重要,否则就会形成资安漏洞。最后,科技日新月异,风险与科技进步总是伴随发生,唯有时时掌握新知,持续关切科技风险,才能够及时对应、寻求相对安全能力。
2015年最严重的资安威胁为何?
科技的进步带来风险的增加,无疑地,IOT、BYOD、Cloud Computing及Big Data等应用,将是未来资安最大挑战且包罗万象。
和其他国家对于资安防御的能力,台湾的评分为何?
以国家投入资源及成效综观,在资源严重不足,只能凭借相关单位及供应商惨澹经营,我国的资安防御属于中上程度,实属不易。
但反观美国政府在2015年政府预算项目中,光是网络安全(Cyber Security)这个项目中,政府投资就已经超过160亿美金,创下空前纪录,但台湾的资讯及资安预算,仍相对落后于美、中、日、韩等国。真的要落实资安防护,政府如何在既有的资源调度上,能够落实资安防护的提升,是政府的一大考验。
