https://www.informationsecurity.com.tw/seminar/2026_GOV/

觀點

風險驅動治理:ISO 27005如何協助台灣A級機關與金融業資安合規

2026 / 07 / 08
投稿文/林宜隆
風險驅動治理:ISO 27005如何協助台灣A級機關與金融業資安合規
在現代威脅環境下,傳統「逐條合規」的資安管理模式(ISM model)已難以應對瞬息萬變的攻擊手段。根據最新標準,組織必須建立在「風險驅動(Risk-Driven)」的基礎上,將資安韌性轉化為實質的營運韌性。本文探討如何以ISO/IEC 27005:2022為核心管理引擎,整合ISO 27k系列標準與台灣高階資安法規,構建一套「風險驅動」的智慧治理體系。

核心引擎:ISO 27005:2022的現代化風險管理

ISO/IEC 27005:2022是國際標準組織專為資訊安全風險管理(ISRM)制定的實務指引,是ISO 27001條款6.1.2及6.1.3(風險評鑑與處理)的實施操作手冊。

2022年版引入了「資產導向(Asset-based/Bottom-Up)」與「事件/情境導向(Event-based/Top-Down)」的雙軌機制(Dual-approach)。組織不再受困於盤點成千上萬的細碎資產,而是利用「風險情境(Risk Scenario)」,將風險來源、觸發事件與業務衝擊串聯成管理層能聽懂的邏輯故事,有效輔助決策。

同時,這套標準強調風險評鑑必須隨組織內外部環境的變化進行持續性的動態監控(Continuous Diagnostics and Mitigation,CDM),而非一年一度的靜態報告。

ISO 27k系列標準的深度整合

成功的資安治理,需遵循「先以ISO 27002導入,再通過ISO 27001驗證」的正確邏輯:

精準實作(ISO 27002):根據ISO 27005的風險情境分析,從ISO 27002:2022提供的4大類別、93項資安控制措施中(如威脅情資、雲端安全、資料遮罩和外洩防護),精挑細選出必要的防護措施,避免資源浪費。

組織文化與流程融入(ISO 27003):利用ISO 27003將資訊安全管理系統(ISMS)融入日常業務流程(Workflow),透過背景分析平衡安全性與業務單位的便捷性需求,降低推動抗拒。

技術深度驗證(ISO 27008):ISO 27008指導稽核員針對技術性資安控制措施進行評鑑及深鑽,確保防護不僅存在於文件中,更在技術層面發揮效用。

法規對接:滿足A級機關與金管會之剛性需求

針對台灣受高度監管的單位,即數位發展部A級機關及金管會第一級上市櫃公司(實收資本額達100億元以上),整合ISO 27005的風險評鑑是達成合規的最佳路徑,而這樣的必要性,在近期一連串重大資安事件中已充分顯現。

在關鍵基礎設施方面,2025年馬偕紀念醫院與彰化基督教醫院相繼遭勒索軟體攻擊,導致核心醫令與掛號系統一度停擺,凸顯醫療體系在風險情境設計上的迫切需求。在高科技製造業方面,2026年鴻海位於美國威斯康辛州廠區遭勒索軟體入侵,以及半導體設備廠弘塑科技遭勒索病毒攻擊,均顯示即使是資本雄厚的大型企業,也可能因單一環節的風險情境未被納入評鑑而付出代價。在金融業方面,南韓託管服務商(MSP)遭入侵事件導致逾20家下游資產管理公司同步感染勒索軟體,以及國內第三方支付業者拍付國際(Pi拍錢包)遭駭客入侵、外洩用戶個資,都顯示供應鏈與第三方委外機制,已成為金融資安治理不可忽視的風險情境。

這些事件的共通點,在於損害往往不只停留在單一技術層面,而是迅速擴散至營運中斷、法遵責任與商譽信任,這也正是數位發展部與金管會對高度監管單位訂有明確剛性要求的原因。在機關層級,數位發展部A級機關的核心資通系統須於2年內通過ISO 27001驗證,並結合ISO 27008針對高風險情境進行年度壓力測試,例如滲透測試。在企業治理層級,金管會第一級上市櫃公司則被強制要求設置資安長(CISO);依ISO 27005規範,「風險擁有者(Risk Owner)」必須對「殘餘風險」進行正式簽核,確保資安責任回歸至高層經營決策,並在重大事件發生時,能快速向董事會說明業務衝擊。

金融業實戰案例:跨境匯款系統之風險治理

以金融業最關鍵的「跨境匯款系統」為例,可說明如何落實此架構。

風險情境識別(ISO 27005):重點不只是盤點伺服器主機,而是設定情境:駭客透過社交工程取得高權限帳號,竄改SWIFT匯款指令,導致鉅額資金外流。這種「情境導向」能讓銀行高層認知到業務中斷與財務損失的直接關係。

精確控制措施(ISO 27002):針對上述情境,銀行可選擇強化「特權帳號管理」與「行為監控」等控制措施,而非漫無目的地在所有系統安裝防毒軟體。

有效性壓力測試及資安評鑑(ISO 27008):可參考ISO 27008,針對跨境匯款流程進行「AI紅藍隊演練」,模擬攻擊者利用AI生成的釣魚郵件或深度偽造(Deepfake)技術,測試系統與人員在極端情境下的抵禦與復原能力。

決策簽核(CISO責任制):對於無法完全消除的技術風險(殘餘風險),必須由資安長與業務擁有者正式簽核,確保管理層清楚知悉並接受此營運風險。

結論

針對台灣受高度監管的單位,即數位發展部A級機關及金管會第一級上市櫃公司,整合ISO 27005:2022能讓組織擺脫繁瑣的資產追蹤,轉向以業務衝擊為核心的精準投資。透過與ISO 27k家族的融合,並對接資安署與金管會的法規,組織能將有限資源投入在高風險情境上,真正實現「資安韌性即營運韌性」,支持企業在數位轉型中永續經營。透過上述整合架構,受高度監管的組織能將資安從「形式合規」提升為「風險驅動」的智慧治理體系。

▲本文為投稿文章,不代表社方立場。原稿作者:大同大學資訊工程學系教授、台灣數位鑑識發展協會(ACFD)創會理事長、全球網際空間管理暨產業發展協會(AGCMID)理事長 林宜隆。