Covid 19疫情逐一解封之際,各產業紛紛動起來,各產業因三年的疫情侵襲下,短期三、五年、長期十年的企業營運計畫均被迫,重新洗牌。如今企業逐漸復甦的同時,資安威脅議題從未減反而增加,尤其是製業,因此對於台灣的護國神山產業,提前部署接下來將面臨接踵而來的挑戰,將是首當其衝。
本月15日,位於科技重鎮新竹地區,由數聯資安攜手重要夥伴Cloudflare,共同舉辦一場專為製造業資訊安全人員打造的一站式資安合規服務的落實作法,分享情境式案例事件,以及直接面對專家的一場活動。數聯資安是國內專注於資安長達18年時間,服務範疇擴及北、中、南三地,同時擁有超過150名服務團隊的資安服務廠商; Cloudflare 則是一家全球網路資安廠商,以協助企業組織於網際環境內營運確保安全、私密、快速與可靠。
數位化演進 製造業三大挑戰
活動中,數聯資安總經理李明憲表示,「隨著數位化的增加,安全防禦的警覺相形提升,同時國內金管會於110年12月底公布「上市上櫃公司資通安全管控指引」的積極推動資安的規範與指引,對於企業組織而言,相信大家已經感受到許多的壓力,數聯資安同時也觀察到製造業相較其他產業上身負更多挑戰,例如IT與OT的協作、異地跨國、跨廠區的營運、供應鏈資安的防禦,供應鏈安全除了軟體供應鏈外,製造業更是關注零組件上下游的供應商安全,甚至到廠商的資安成熟度的評鑑等均是製造業當務之急的壓力與挑戰。」因此,李明憲強調,「數聯資安希望透過這場研討會落實協助解決製造業的痛點與減少壓力,從如何依循主管機關的要求下,進行資安管理面合規的因應,以及目前數位發展部積極的推動零信任架構下將數聯資安的服務與Cloudflare的資安產品,雙方整合為更具強而有力的資安防禦機制,提供給上市(櫃)公司們明確可落實的管理方向與防禦策略。」
零風險是不合理的期望
一站式服務達成合規是數聯資安服務企業組織的核心理念,數聯資安的資安管理顧問部經理陳文川表示雖然ISMS是一個驗證的標準,是一套有系統地分析和管理資訊安全風險的方法,但是企業組織想要達到零風險的資訊安全,這是一種不合理的期望,因為ISMS的目標是透過控制方法,降低資訊風險到企業組織可以接受的程度範疇內,因此會中強調提醒大家對於ISO/IEC 27001 (資訊安全管理系統)所提供的資訊技術、安全技術、資訊安全管理系統的整體概念,企業組織要理解,ISO/IEC 27001是協助各種不同類型之企業組織、各部室單位了解如何改善保護企業組織的資訊資產的基本原則、原理與觀念。
雙向落實資安防禦與合規
數聯資安一站式服務的導入流程有六大方向,現況診斷與差異分析、風險評鑑與管理、建立資安管理系統、制度落實、內部稽核、外部稽核並取得證書。陳文川表示,這六大方向的工作項目的五個階段與PDCA循環式品質管理相呼應,第一階段現況診斷與差異分析與第二階段風險評鑑與管理,相當同於Plan(規劃),其中的現況訪談、資訊資產盤點、風險評鑑,佔據非常重要的一環,如同Plan(規劃),數聯資安服務超過四百家的政府、金融、醫療、上市櫃公司及高科技製造業等,資產盤點經常對於導入資安管理流程接續的營運影響面有著不容忽視的重要工作項目之一;第三階段建立資訊安全管理系統,相當於是Do(執行) 建立管理制度程序文件;第四階段制度落實與實施稽核,則為Check(查核) 第五階段則為稽核作業與驗證ACT(行動)。