演講範圍同步接軌Cloud Security Alliance、The Honeynet Project 與OWASP等國際資訊安全組織最新的研究成果、全球資訊安全發展趨勢,從企業安防、雲端資安、工控系統資通安全標準、資安治理稽核與事件掌握與應變等議題。
去年(2022)10月ISACA Taiwan Chapter與中華民國電腦稽核協會(CAA)參與年度盛會InfoSec Taiwan國際資安大會,活動由台灣數位安全聯盟(TWCSA)主辦,ISACA Taiwan Chapter為共同推廣,CAA為協辦單位,大會活動為期兩天超過三十場專業講師的演講,演講範圍同步接軌Cloud Security Alliance、The Honeynet Project 與OWASP等國際資訊安全組織最新的研究成果、全球資訊安全發展趨勢,從企業安防、雲端資安、工控系統資通安全標準、資安治理稽核與事件掌握與應變等議題,是一場契合未來數位環境高度精密發展下的資訊安全觀念、法規與技術的國際活動。
未來強力個資監管時代的來臨
這次大會,我們除了參與共同推廣身分,並且邀請電腦稽核協會會員們參與的同時協會也分別加入議題的分享,首要為電腦稽核協會理事長葉奇鑫先生,其同時為達文西個資暨高科技法律事務所所長,理事長的專題演講是從憲法訴訟案例,觀察到未來強力個資監管時代的來臨,一開場理事長即從一起七億歐元的天價裁罰案例談起,2021年歐洲總部設於盧森堡的Amazon亞馬遜,被盧森堡政府裁定違反GDPR (General Data Protection Regulation ),因此Amazon被罰7.46億歐元,創下GDPR裁罰的新紀錄。
Amazon的裁罰事件,讓大家更為正視歐盟GDPR法規執行面的積極與落實,這也逐步快速延展影響了全世界資料治理的新趨勢,各國也紛紛啟動個資法立法或是修改的進程動作,例如,美國個資法2020年加州隱私權法修正CCPA,強化消費者資料權利,隔年維吉尼亞州消費者隱私保護法也確立。中國大陸的腳步更為飛速,2020年中國大陸首次公開個資保護專法草案,個人信息保護法(草案),隔年11月1日正式實施。日本個資法則為2020年針對個人資料保護法修正案,增設匿名資料相關規範,強化當事人權利與業者個資保護義務。
個資監管機制莫忽視
反觀我們國內,理事長分享去年2022年我國出現第一件個資法合憲性訴訟案例,關於國內健保資料庫內的民眾資料,是否有被侵權使用的案件,理事長2022年擔任國發會個資法憲法訴訟代理人,因此也深度參與此訴訟案其中,此案的最後判決為強化個資保護,訴訟攻防過程中已展現出借鑒歐盟之趨勢,也帶給日後國內更為重視與執行密實且有力量的個資監管機制。
當世界趨勢與環境愈邁入科技、AI、智能應用為溝通交流與營運往來的媒介與行為,數位資料成為重要機敏的訊息時,我們應該如何治理數位的安全,將是大家應有所準備的議題,因此最後理事長呼籲個資法主管機關之監理作為,應更為積極回應數位治理需求、政策與落實執行。
接續當日下午的應用安全系列的三場演講,此系列演講由電腦稽核協會(CAA)、ISACA Taiwan Chapter共同策劃,邀請三位專業講師分別為,ISACA Taiwan Chapter Vice President陳政龍先生談「ISACA與CSA的跨域整合:CCAK」; 中華民國電腦稽核協會常務監事同時為台灣金融研訓院的菁英講師,高進光先生專題演講「如何建立完善的資安治理稽核制度」,以及ISACA Taiwan Chapter Director同為安永諮詢服務股份有限公司執行副總曾韵女士分享「資安主管應該知道的事件應變與危機處理原則」。
CCAK正是此刻證照與技能的需求
陳政龍先生透過影音動畫方式來介紹國際電腦稽核協會(ISACA)背景,影片除了增添科技感、活潑性外,也讓現場觀眾感受到ISACA分布全球各地的影響力與擁有許多菁英專業人士的一個社群組織。我們ISACA是為國際性聚焦於資訊管理、控制、安全和稽核專業設定規範的全球性組織,與專精雲端專業研究、培訓的雲端安全聯盟(CSA) 跨域合作發展滿足對非特定廠商的技術培訓和雲端稽核證書「CCAK」(雲端稽核知識認證)。
陳政龍接續深入介紹ISACA與CSA跨域整合的CCAK (Certificate of Cloud Auditing Knowledge)雲端稽核證照,並且表示我們除了踏進了雲端時代,雲端的服務與安全也成為目前大家所倍加關注,因此CCAK正是此刻證照與技能的需求,CCAK雲端稽核證照結合,除了人員所應具備的電腦稽核能力外,還可再增加雲端稽核的能力,因此CCAK可提供資訊稽核、資通安全和風險管理專業從業人員與組織,獲得雲端環境稽核的知識技能,填補產業中雲端稽核的市場缺口,並優化雲端服務的投資報酬率。
銀行內部控制三道防線
長期在金融機構資訊與稽核部門服務,具有CIA國際內部稽核師、CAMS國家反洗錢師認證,高進光先生於會中分享金融單位建立完善的資安治理稽核制度的觀念與實作,高進光表示銀行內部控制三道防線,防線軟體、硬體的設置其目的是為了保護資產,人的安全也是資產之一。三道防線分別為,第一道防線負責「辨識及管理」所有相關之營運活動風險,建立內部控制程序等; 第二道防線負責協助及監督第一道防線辨識及管理風險; 第三道防線則是稽核須扮演合理確保內部控制與風險管理制度之有效性等。因此高進光特別強調稽核機構需有系統性與有紀律的方法,來協助機構進行評估及改善風險管理、控制及治理過程,因此會中也介紹組織可以運用風險導向Risk Base Approach(RBA)稽核制度,透過此稽核的風險評估,預防有誤的作業發生,吸取過去事件經驗找出作業瑕疵,進而轉化為未來風險取向的參考依據。
資安主管首要事 : 組織職掌權責要清楚
壓軸場的主題,資安主管應該知道的事件應變與危機處理原則,此專題講師曾韵女士是安永諮詢服務股份有限公司執行副總,同時身兼ISACA台灣分會與中華民國電腦稽核協會理事,也是國內科技女力活躍的代表人物。曾韵表示資訊安全的重視度提昇從雨後春筍般許多企業紛紛設置專門的資安部門與主管可端倪出來,這對於高階主管與負責資安的人員為之戒慎恐懼,對於面臨持續營運的威脅及資安事件時,時間緊湊、且各種狀況接踵而來應接不暇,他們往往會無所適從。
因此曾韵提別對於事件應變處理的建議,組織職掌權責要清楚,當企業處在應變階段時,這個組織為應變機制小組,並非是常設組織,而是當事件發生時所組織的任務小組,小組成員是需具備來自各部門,且具備跨部門溝通協調的能力,當發生事件的第一時間,對於初步的處理原則,例如如何處置、如何通報、通報傳達的內容等等,都需要有清晰調理的應變,再者就是應變小組對於核心系統的辨識能力也是重要的,因為才能夠更為縮短時間且正確標的處置與風險損失的評估,這些均屬與事件應變本身,然而對於上市櫃公司被要求事件發生時,需要進行發送重大訊息的公布,對此曾韵也提醒企業組織的對外部危機溝通處理也是日後資訊單位主管們,學習與挑戰的課題。
*主圖、文內照片: 攝影/潘后儀
