近年來受到數位化影響,越來越多服務(或業務)可以在網路上進行,連帶也提高主管單位對資安的重視與要求,企業的資安合規需求也跟著日益升高。
「合規」是推動企業落實資安防護的驅動力之一,尤其像政府、金融、電子支付等受到高度監理的產業,對於資安合規的重視度也就特別高,而若先撇開電子支付這個原本就只有在網路上進行業務的產業不提,單就政府與金融業來看,近年來受到數位化影響,越來越多服務(或業務)可以在網路上進行,連帶也提高主管單位對資安的重視與要求。
KPMG顧問服務部副總經理謝昀澤指出,近3年來政府單位對資安的要求與督導皆有明顯不同。首先是明確定義出各級機關的資安管理範圍,以前只有訂出作為,但是沒有要求範圍,所以少數機關會選擇用最簡單的方式符合規範,也就是只在一些小範圍來執行資安作為,最明顯的例子就是ISMS,很多機關只在一些小系統導入,如今則是明確定出各級機關的資安作為要達到什麼程度。
再者為行政院對政府各部門的資安實質督導,也就是年度資安考核和訪視的力度加深很多,包括高階主管親自參與、增設一些鼓勵性措施…等,促使各單位更加重視資安,另外在資安稽核的深度也有所不同,不像以前著重在管理面,如今還有技術面與人員面的要求。
而政府單位對資安重視度的提昇也影響到金融業,主要有以下三點變化 :
第一、過往金融監理單位的態度傾向以業者自律為主,現在則是有越來越多新的明文要求,如:金融機構辦理電腦系統資訊安全檢測辦法,而且以前與資安相關的法令辦法多將重點放在銀行和金控,現在則擴大到產險、壽險、保金…等相關金融機構,都必須要有相對應的資安作為。
第二、以前金融監理單位在制定資安要求時,多以網路安全為主,現在則變得很全面,包括技術、人員、管理面都有很具體的要求,例如:要求金融機構進行社交工程演練,就是對人員面的資安要求。
第三、這些與資安相關的明文規範變得非常具體,明確地寫出檢測的方法、頻率、抽樣比率、範圍…等,不像以前是比較籠統概括式的寫法;第四、以前金融業和資安相關的規範、辦法,多半以網路銀行這種對外開放的系統為主,現今連封閉式系統如:ATM也一併納入規範範圍內。
至於電子支付產業,謝昀澤認為它其實是類金融業,與金融樣一樣受金管會監督管理,所以在資安監理上有很多與金融機構相同的要求,例如:公司在營業之前必須送件申請,申請書內需清楚說明與資安相關的具體作為,營業後每年都會進行一次金融檢查,檢查範圍亦包含資訊安全。而在電子支付產業相關的資安辦法中,也可看見許多與金融業相似的規範,例如:依據執行業務的風險高低去對應不同的控制項目,資安要求涵蓋技術、人員、管理所有面向。
KPMG顧問服務部協理陳建光表示,從2012年至今,金管會所增設種種的辦法中,可以明顯看出第三方查核的比重變高了,例如:2015年通過的電子支付法令中,便要求業者所提交的資訊系統及安全作業評估報告必須經過會計師簽核,而這個第三方角色除了會計師事務所,也可能是資安廠商…等其他單位,這種由業者、第三方公正單位、主管機關共同監理合作的模式,將是未來金融業或電子支付產業必然的方向。
隨著企業資訊化程度越高,主管機關對資安監理的要求只會越來越高,謝昀澤表示,為了協助企業滿足資安合規要求,KPMG提供資安顧問、獨立的資安檢測報告、協助稽核IT委外廠商…等各種服務,讓企業在落實資安防護的同時也能符合政府法令要求。