網(wǎng)絡(luò)攻擊、IT服務(wù)中斷及資料外泄是全球企業(yè)共通風(fēng)險(xiǎn)

　　CTI論壇（ctiforum）3月30日消息（記者 李文杰）：臺(tái)灣許多政府部門的A級(jí)單位都必須取得一張國(guó)際資安認(rèn)證ISO 27001，不論是2005年版的11個(gè)資安控管領(lǐng)域、133項(xiàng)控制措施，或者是2013年改版后的14個(gè)資安控管領(lǐng)域（新增加密及供應(yīng)鏈關(guān)系管理）、113個(gè)控制措施，這些單位都通過(guò)ISO 27001一套完善的P（規(guī)劃）D（執(zhí)行）C（稽核）A（矯正）流程，不僅提高組織法規(guī)遵循的能力，徹底的落實(shí)也有助于減少資安事件、提升IT效能和組織競(jìng)爭(zhēng)力。

　　現(xiàn)任臺(tái)灣BSI標(biāo)準(zhǔn)驗(yàn)證公司總經(jīng)理蒲樹盛，是資安及稽核業(yè)界領(lǐng)導(dǎo)風(fēng)險(xiǎn)管理的資深專家，對(duì)于ISO 27001在臺(tái)灣普及化的過(guò)程，更是重要推手之一，而他也將于4月初，在iThome舉辦的臺(tái)灣資訊安全大會(huì)中擔(dān)任講者。

　　蒲樹盛專長(zhǎng)個(gè)資管理、資安管理、營(yíng)運(yùn)持續(xù)管理、業(yè)務(wù)流程管理和質(zhì)量管理等領(lǐng)域，并長(zhǎng)期擔(dān)任政府和企業(yè)教育訓(xùn)練講師與諮詢顧問，他認(rèn)為，當(dāng)有8成以上企業(yè)都擔(dān)心面對(duì)網(wǎng)絡(luò)攻擊和IT服務(wù)中斷的風(fēng)險(xiǎn)時(shí)，若能夠參考適當(dāng)?shù)膰?guó)際標(biāo)準(zhǔn)并落實(shí)在組織的流程環(huán)節(jié)中，都有助于強(qiáng)化企業(yè)防御能力和競(jìng)爭(zhēng)力。以下為書面采訪內(nèi)容：

　　企業(yè)若要做到持續(xù)營(yíng)運(yùn)，面臨哪些重要的風(fēng)險(xiǎn)呢？

　　綜合世界經(jīng)濟(jì)論壇（WEF）2015 Global Risk Report及英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）與英國(guó)營(yíng)運(yùn)持續(xù)學(xué)會(huì)（BCI）最新的2015研究報(bào)告的結(jié)果，全球企業(yè)近年來(lái)都共同面臨3個(gè)重要的企業(yè)風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)攻擊（Cyber Attack）、無(wú)完善計(jì)劃的IT及通訊中斷（Unplanned IT and Telecom Outages）和資料外泄（Data Breach）。

　　若以英國(guó)營(yíng)運(yùn)持續(xù)組織一年一度、針對(duì)全球760個(gè)企業(yè)于組織做的地平線掃瞄報(bào)告（BCI Horizon Scan）為例，準(zhǔn)備方面進(jìn)行評(píng)估，發(fā)現(xiàn)超過(guò)8成（82％）的營(yíng)運(yùn)持續(xù)專業(yè)管理人都對(duì)網(wǎng)絡(luò)攻擊事件心懷恐懼，也有8成（81％）擔(dān)心缺乏完善計(jì)劃的IT及通訊中斷；也有75％擔(dān)心如索尼影業(yè)（Sony Pictures）在2014年發(fā)生的資料外泄事件。

　　另外，根據(jù)「2014 Ponemon 網(wǎng)絡(luò)犯罪的代價(jià)」報(bào)告更指出，平均全球每家公司花在防范網(wǎng)絡(luò)犯罪上的年度成本為760萬(wàn)美金，且每年以超過(guò)1成（10.4％）的成長(zhǎng)率持續(xù)增加。

　　對(duì)企業(yè)而言，又該如何克服持續(xù)營(yíng)運(yùn)所面臨的風(fēng)險(xiǎn)？

　　組織面對(duì)上述企業(yè)常見風(fēng)險(xiǎn)時(shí)，千萬(wàn)不能心存僥幸或過(guò)度自信，除了要確實(shí)意識(shí)到這些威脅外，利用營(yíng)運(yùn)沖擊分析（Business Impact Analysis，BIA）的手法鑒別出哪些事組織中的關(guān)鍵系統(tǒng)及關(guān)鍵業(yè)務(wù)流程，也必須正確定義最大可容忍中斷時(shí)間，整備預(yù)防中斷及緊急應(yīng)變所需資源，建立營(yíng)運(yùn)持續(xù)計(jì)劃（BCP）程序，落實(shí)演練，防患于未然。

　　以高科技制造業(yè)為主的臺(tái)灣產(chǎn)業(yè)，持續(xù)營(yíng)運(yùn)思維如何落實(shí)相關(guān)在供應(yīng)鏈管理呢？

　　從食安、工安及國(guó)際客戶的要求趨勢(shì)來(lái)看，供應(yīng)鏈管理已是企業(yè)必須認(rèn)真面對(duì)的課題。臺(tái)灣企業(yè)若要開始建立供應(yīng)鏈管理制度，可以從下面3個(gè)步驟進(jìn)行。

　　首先，必須了解客戶及法令要求，例如，電子業(yè)有EICC要求，國(guó)際知名品牌客戶（蘋果Apple、耐吉Nike及沃爾瑪Walmart等），都有各自不同的特定規(guī)范。

　　其次，要鑒別企業(yè)目前符合客戶和法令的狀況為何，除了可以采行自我評(píng)估外，也可以委托專業(yè)第三方機(jī)構(gòu)進(jìn)行差異分析，確實(shí)了解目前的不符合及弱點(diǎn)狀況，尋求改善機(jī)會(huì)。

　　最后，必須通過(guò)建立制度以提升競(jìng)爭(zhēng)力，避免頭痛醫(yī)頭的單點(diǎn)改善模式，建立可長(zhǎng)可久的管理制度，就可以參考采用ISO國(guó)際通用標(biāo)準(zhǔn)，并運(yùn)用PDCA流程，建立所需要的制度。

　　既有的資安、風(fēng)險(xiǎn)或是持續(xù)營(yíng)運(yùn)相關(guān)等國(guó)際標(biāo)準(zhǔn)，對(duì)組織又有何幫助呢？

　　國(guó)際標(biāo)準(zhǔn)制定了產(chǎn)品或服務(wù)對(duì)環(huán)境、安全或健康等層面的最低需求，而且通過(guò)這樣的國(guó)際標(biāo)準(zhǔn)，可以在全世界范圍內(nèi)統(tǒng)一使用。

　　因此，對(duì)組織而言，不論是資安、風(fēng)險(xiǎn)或者是持續(xù)營(yíng)運(yùn)相關(guān)的國(guó)際標(biāo)準(zhǔn)，首先強(qiáng)調(diào)的都是組織管理團(tuán)隊(duì)的正確認(rèn)知，管理階層具備好的領(lǐng)導(dǎo)力（Leadership），就可以從策略面、管理面及技術(shù)面進(jìn)行思考及整備；再者，因?yàn)榻M織資源有限，組織必須有策略的分派任務(wù)以免浪費(fèi)資源，就必須先做到鑒別組織內(nèi)風(fēng)險(xiǎn)優(yōu)先順序。

　　第三，國(guó)際標(biāo)準(zhǔn)要能夠落實(shí)，所有人員必須善盡本分、遵守規(guī)定，當(dāng)責(zé)（Accountability）很重要，否則就會(huì)形成資安漏洞。最后，科技日新月異，風(fēng)險(xiǎn)與科技進(jìn)步總是伴隨發(fā)生，唯有時(shí)時(shí)掌握新知，持續(xù)關(guān)切科技風(fēng)險(xiǎn)，才能夠及時(shí)對(duì)應(yīng)、尋求相對(duì)安全能力。

　　2015年最嚴(yán)重的資安威脅為何？

　　科技的進(jìn)步帶來(lái)風(fēng)險(xiǎn)的增加，無(wú)疑地，IOT、BYOD、Cloud Computing及Big Data等應(yīng)用，將是未來(lái)資安最大挑戰(zhàn)且包羅萬(wàn)象。

　　和其他國(guó)家對(duì)于資安防御的能力，臺(tái)灣的評(píng)分為何？

　　以國(guó)家投入資源及成效綜觀，在資源嚴(yán)重不足，只能憑借相關(guān)單位及供應(yīng)商慘澹經(jīng)營(yíng)，我國(guó)的資安防御屬于中上程度，實(shí)屬不易。

　　但反觀美國(guó)政府在2015年政府預(yù)算項(xiàng)目中，光是網(wǎng)絡(luò)安全（Cyber Security）這個(gè)項(xiàng)目中，政府投資就已經(jīng)超過(guò)160億美金，創(chuàng)下空前紀(jì)錄，但臺(tái)灣的資訊及資安預(yù)算，仍相對(duì)落后于美、中、日、韓等國(guó)。真的要落實(shí)資安防護(hù)，政府如何在既有的資源調(diào)度上，能夠落實(shí)資安防護(hù)的提升，是政府的一大考驗(yàn)。