由SGS台灣檢驗科技股份有限公司所舉辦之「資訊治理年會」今年邁入第三屆,日前 (19日) 假臺大醫院國際會議中心隆重舉行,典禮中邀請到業界專家與SGS資訊團隊為與會嘉賓帶來精采的主題分享,更為卓越企業頒發「資安管理卓越獎」與「個資管理卓越獎」,表彰企業之卓越成就,並由年度獲獎企業趨勢科技與凌羣電腦擔任分享代表,為嘉賓帶來寶貴的經驗分享。
SGS於今年頒發之資訊治理卓越獎獲獎企業,不僅在資安或個資上取得國際標準認證,更經過SGS專家團隊審查,經評選後最終有四家脫穎而出,獲得「資安管理卓越獎」之企業分別為趨勢科技股份有限公司、凌羣電腦股份有限公司;獲得「個資管理卓越獎」之企業分別為中華電信股份有限公司客戶服務處與台灣人壽保險股份有限公司。
典禮中亦邀請本屆資安管理卓越獎獲獎企業「趨勢科技」台灣區暨香港區洪偉淦總經理帶來「企業資安現況及挑戰」主題分享。在這後疫情時代,企業不只要抗「疫」,更要積極防「駭」,趨勢科技專注於資安領域逾30年,並有數百名威脅研究員,分佈於全球15個威脅研究中心進行威脅研究,全球每年所發現的漏洞中,有50%以上都是透過趨勢科技威脅研究團隊所發現。「目前全球正面臨『網路威脅的完美風暴』,也因疫情驅動企業的數位轉型,加速了數位環境建置與工具導入,加上網路犯罪有著愈來愈驚人的殺手級應用,令企業機關防不勝防,加上地緣政治與法規遵循因素,更加速了網路威脅的種種挑戰。」洪偉淦提到。以趨勢科技所經手之資安事件可發現,網路攻擊的產業目標別亦有逐年轉變趨勢,從2014年以前的政府機關構,到2017年的金融與製造相關產業,近年則著重於交通與公用事業,這些攻擊標的差異,當然也伴隨著其隱含的目的,通常對政府機關/構著重於情資竊取、對金融則著重個資及交易資料竊取、對高科技製造業則透過中斷營運以進行勒索與智財竊取,而公用事業則是以中斷營運打擊基礎設施為目的。面對不同手法所帶來的種種威脅,洪偉淦提到,盡管資安沒有絕對的安全,國內企業仍必須意識到唯有高階主管的充分支持與支援,並依資訊系統與營運需求識別風險與重要性,並進一步強化網路架構、存取管理、行為偵測與即時監控,並具備專業、充分授權、明確分工及SOP之指揮系統,才能真正達到「縱深防禦」之效果。
本屆資安管理卓越獎獲獎企業「凌羣電腦」亦帶來「資訊治理之系統導入與整合經驗分享」,凌羣電腦張義明總處長提到,凌羣之所以能以卓越的軟體開發品質與研發能力服務於金控、電信、政府 國防、醫療、製造、教育等產業,便是來自於積極建置ISO品質管理系統並進行高度整合,目前已陸續通過 ISO 27001、BS 10012與 ISO 20000等驗證。「盡管管理系統眾多,對凌羣而言,各個系統絕非單獨存在或各自運行,之所以能相互融洽且妥善運行,原因便是這些管理系統對凌羣而言都是『品質管理系統』。」張義明如是說。凌群的管理系統發展史可概分為三個階段,第一階段為標準化的基本功,透過建置ISO 9001與CMMI以強化基礎架構,並成立專責團隊進行主導與推動;第二階段則是建構專屬平台,利用數據管理績效與品質,打造完善的改善機制,有效將企業目標下展至專案目標,達成數據分析標準化、根本原因分析與最佳化;目前的第三階段,則可在既有基礎下,透過經驗與工具,擷取品質管理系統之精隨,搭配與拓展所需之其他管理系統,達成整合的改善機制。張義明提到「凌羣是軟體服務公司,不像一般製造業能明確的統計出產品生產過程中的良率、機器稼動率等數據,因此在多年的品質管制經驗下,凌羣取CMMI ML5精隨,發展出『部門燃燒率』、『產能利用率』等適合用於凌羣之獨特績效監控指標。」透過這三階段的品質系統演進過程中,凌羣便可更容易地將新的管理系統與要求,融入既有的管理體制中,也即是凌羣之所以能快速導入ISO 27001等管理系統,並適用於組織內部之主因。
國內之資通安全管理法已施行一年有餘,盡管許多機關與企業已逐漸熟悉並掌握資安法之要求,但有部分企業乃今年方被公告適用等級,難免困惑該如何有效整合資安法與ISO 27001,以達成法規遵循性之要求。SGS 驗證及企業優化事業群資訊治理部何星翰部門經理藉此機會帶來「因應資安法遵循性要求,強化ISO 27001稽核軌跡及重點解析」主題,說明SGS如何在達成企業機關對外部稽核有效性之前提下,同步滿足主管機關之法遵性要求。畢竟ISO國際標準之目的,是希望能一體適用於各行各業並盡可能地減少負擔,因此難免有不明確或不具體,但資通安全法則以完整且具體之內容對相關企業機關進行要求。因此何星翰建議,對於受資安法規範之企業機關又同時導入ISO 27001,應一併考量關注方 (主管機關、認證機關等) 之要求、盡可能整合國際標準與當地法規,更重要的是應以風險導向之基礎進行評估,方能完善內部資訊治理流程。
除了資安法,2020年又以「開放銀行 Open Banking」備受國內機關企業關注,使得2020年又稱為「網銀、開放銀行元年」。典禮中邀請到在Open Banking中負責TSP媒合的政大金融科技研究中心顧問謝焸憲,為與會嘉賓帶來Open Banking三階段之進度與解析。謝焸憲提到,全球有許多國家已經或正在推行開放銀行,畢竟開放銀行能透過資料開放促進多元化服務,並促使銀行建立金融生態系的合作模式,更重要的,銀行進行數位轉型時少不了開放銀行的商業模式。盡管三階段中的第一、第二階段已陸續上線,謝焸憲也提到目前開放銀行所面臨到的問題,如:生態系建立的困難、TSP第三方服務業者與銀行間的信任程度、消費者對賦權概念之理解與使用者體驗等,唯有共同面對這些問題,並透過制定相關技術規格、資安規範與標準,方能有效推進開放銀行之進展。「開放銀行是金管會金融科技發展路徑圖之重要政策,更是金融業的實際應用場景,因此可預見銀行的開放銀行策略將會是 Open API 與 Partner API 混合模式,銀行若能做好TSP的管理、廣納國內外TSP業者,將能有效建立生態系合作模式。」謝焸憲說。
2020 SGS資訊治理年會中其驗證及企業優化事業群 台灣暨東北亞區 黃世忠資深副總裁談到,台灣是全球駭客攻擊比例最高的國家,因此在資安與個資保護上,國內企業投入資源不遺餘力,透過今年度獲獎企業代表之經驗分享,相信能為國內企業提供資訊治理上的助益,並強化管理系統的實施與整合。未來數年內,資安仍舊會是業界最關注的話題之一,不論是否受到資安法規範,各行各業皆應以嚴謹的標準自我檢視。而SGS資訊服務團隊不僅扮演著SGS Global的研發中心角色,能彈性且快速地推出新服務滿足客戶期待,更具有國內超過400張證書、最豐富的稽核經驗,加上完善的專業訓練,能為企業提供從訓練、稽核驗證,到企業轉型與營運優化等一條龍服務。未來,SGS將秉持著「企業永續信賴夥伴」信念持續努力,致力提供專業、信賴與高效益之服務,以滿足產官學各界之需求與期盼。