本篇我們將介紹國際專注於企業稽核、安全、資訊管理的ISACA《資訊技術風險框架》的初步認識,透過資訊技術框架下的遵循讓企業提高風險的認知, 警覺到建立風險治理文化的重要性。
隨著新興科技不斷的演進與變化,如何理解風險治理層面、如何知道風險內容與風險區分,這幾年來許多企業管理者,陸續將企業風險治理的流程納入企業運作中重要的指標之一。國際電腦稽核協會( ISACA )為國際性專注於資訊管理、控制、安全和稽核專業設定規範的全球性組織,其中主要知名的框架有 COBIT、ITAF、CMMI、Risk IT Framework 等,然而ISACA不只有做稽核相關的內容,對於資安、新興科技、風險管理的議題,均有著墨,例如ISACA Cobit框架協助企業內部的資訊技師管理與治理,資訊技術風險框架( Risk IT Framework )則是提供資訊與技術相關風險的觀點,同時涵蓋風險管理與高層的文化,中華民國電腦稽核協會秘書長黃淙澤表示。
黃秘書長進一步說明,目前ISACA所推動的數位信任,以資安、風險管理、治理、稽核的確保,讓ISACA的客戶、消費者可以信任我們所提供的數位服務,能夠順利地拓展相關的領域,進而創造價值,因此隨之而來的新興科技、法規、監管、市場合作夥伴間供應鏈關係與消費者偏好習慣等,亦是產生數位轉型與新創風險的關鍵要素。
新興科技帶來的風險疑慮
近幾年科技發展迅速,多起的新興科技迅速竄升,例如人工智能(Artificial Intelligence)、區塊鏈(Block chain)、雲變革(Cloud Transformation)、大數據(Big Data),這四大新興科技主流領域,黃秘書長舉例,生成式AI發展所帶來風險的疑慮,例如人們是否會過於依賴生成的結果,所產生的可靠與解釋性方面的疑慮;此科技是否有完善的資通訊安全措施,關於隱私與安全性,以及倫理與道德、合規與法律責任等疑慮。
另外一例,尤其近年來政府對於雲服務的要求放寬,當雲端服務如此快速方便,地端與雲端相互應用,可能所帶來的風險疑慮,例如身分驗證,如何確保螢幕的另一邊是否為真正的授權人員;在隱私資料保護方面,如何確認未經授權的存取,離開雲端環境時,是否有做到徹底的刪除;在應用程式方面,雲端程式一放上去可能會互相影響,因此程式是否要求按照安全性原則開發;在實體安全方面,設備在機房內,如何確保不受破壞?是否授權人員才能實際存取等等的問題與疑慮,均有待於我們重新檢視。
ISACA資訊技術風險框架,提高風險的認知
112年八月於台北一場的InfoSec Taiwan 2023 國際資安組織大會論壇演講上,黃淙澤秘書長提到,因為隨著企業技術的整合及利用資訊創造價值,尤其是資通訊技術的威脅,會使其曝露風險程度增加,如果我們不加以識別及適當管理,資通訊技術威脅將可能會產生破壞性的影響,因此ISACA所推動的資訊技術風險框架,可以帶給企業的優勢是,對風險掌握度提高。他進一步說明四個ISACA資訊技術風險框架的核心精神面向。