【臺灣資安大會直擊：企業實戰篇】威強電資安先從ISO認證做起，更設立CSIRT團隊把關資安體質

擁有3,000名員工、營運遍布28國的ODM大廠威強電，專攻AIoT，應用領域不只工廠自動化、智慧建築、智慧零售，還有交通和醫療器材。如此龐大的企業，如何落實資安管理？

產品系統與IT環環相扣，資安原則是零信任

威強電集團以工業電腦起家，威強電集團資訊服務處副總暨資安長張素碧指出，集團旗下有6家子公司，各自負責資通訊、網通、電信5G和醫療等業務。在應用領域上，產品更與IT密不可分，比如在工廠自動化部分，就有AI驅動的品質分級系統、工業用機器人、自動光學檢測儀（AOI），在智慧零售部分，則有AI人流管理系統、電視牆顯示器和廣告數位看板。

不只對外，成立25年的威強電，內部還有許多使用已久的IT系統，像是企業的核心管理系統ERP、倉庫管理系統WMS、生產管理系統MES，以及管理客戶關係的CRM系統和管理供應商的SRM系統。這些系統除了內部使用，也會與合作廠商溝通，再加上，威強電還有坐落於不同國家的生產基地、物流中心和子公司，這些都是集團資安管理得顧及的。「特別是這兩年因疫情在家辦公，資安管理得走出辦公室和工廠，」張素碧強調：「這等於，我們得用零信任、無邊界的方式來管理資安。」

ISO 27001認證先從核心系統導入，再逐步擴大到全集團

威強電因應這項資安管理挑戰的方式是，先從市面最完整的資安管理系統檢驗標準ISO 27001下手。張素碧表示，集團自2013年開始規畫ISO27001取證，經過1年準備，在2014年取得認證2013新版認證，至今8年，每年都通過認證。

但並非一開始就將所有系統都納入驗證範圍，而是先以核心系統練兵，如基礎建設、機房、電子郵件系統等，近幾年再將擴大範圍至全集團系統。

不只ISO 27001，這幾年雲端資安和個資保護意識抬頭，威強電也分別導入ISO 27017和ISO 27018，來驗證自家雲端服務資安和雲端服務個資保護能力。

但，為何一家製造業要自己導入ISO27001？張素碧解釋，威強電IT大多與原廠委託設計ODM代工相關，許多國外客戶對資安的要求高，因此，威強電早一步做好資安防護，一但客戶提出資安稽核要求，威強電就能順利通過。

身為集團資訊長，張素碧也兼任資安長。她指出，臺灣企業設置資安長的動能，來自金管會修正的「公開發行公司建立內部控制制度處理準則」，分三級要求上市櫃公司設立資安長和資安專責人員。但由於資安長和資訊長人才稀缺，「這2個角色可以是同一個人，」她自己就是這樣的例子，既要維持營運，也要兼顧資安控管，可說是相輔相成。

成立內部資安小組CSIRT和產品資安小組PSIRT

取得ISO認證，是資安管理的基本功，但張素碧認為，資安不能只靠自己做，還得加入聯防、交換情資，才能落實資安防護。

其中，CERT（電腦緊急應變小組）就是一種區域聯防組織，針對資安事件提供應變處置和訊息交換服務，達到區域聯防目的。目前在臺灣，CERT可分為國家級、領域級和關鍵基礎設施服務提供者建置的CERT，另外也有不分領域的TWCERT組織，來提供會員資安情資。威強電也在2019年加入至今，張素碧點出，TWCERT好處是提供每周、每月的資訊通報，因這些資訊已經過篩選和驗證，威強電可直接用來判斷，這些漏洞是否影響公司、是否需因應。

另一種組織是CSIRT（電腦資安事件應變小組），是企業內部第一線處理資安事件的團隊，也是企業與資安社群的連接窗口。他們平時負責資安威脅偵測，爆發資安事件時，也會進行資安事件鑑識與調查。CSIRT找出資安事件的根因後，會強化企業的資安防護能力，也會分析與網路犯罪有關的事件和威脅，制定行動計畫來降低風險。

威強電在2018年開始建置CSIRT，「是個日常組織，也就是平時就在監控情資，而非等到資安事件爆發才處理。」和ISO驗證模式一樣，張素碧表示，威強電CSIRT也是從臺灣一家公司開始做起，後來擴展到全球，甚至美國、上海分部每周都會參加CSIRT會議，來盤點當周資安動態。

還有一種與CSIRT相仿的組織是PSIRT（產品資安事件應變小組），也就是企業內部針對產品、解決方案、零組件和服務，來識別所面臨的資安漏洞和相關資安風險，並評估、處理。威強電也有PSRIT，雖然它專注於產品安全性，但涉及企業應用時，就會與CSIRT合作，共享相關資源。

CSIRT每周盤點IT系統風險

張素碧也進一步分享威強電CSIRT的工作日常。他們得確認每周或每雙周公司的資安狀況，比如CSIRT得每周判斷防火牆訊息，找出高風險因子。其次，他們每周也會檢視公司端點狀況，像是手機、筆電、PC等設備，並導入斷電偵測與回應軟體EDR來輔助，找出是否存在高風險因子，如病毒、勒索軟體等。「每周作業看似枯燥，但久了就會成日常，否則等到事件發生再反應，就來不及了，」她說。

網路偵測也是CSIRT的另一個責任。他們導入網路偵測與回應軟體NDR，來輔助監測企業內使用者的設備狀況。當IT捕獲異常資訊後，就會交由CSIRT分析，再找相關單位（如使用者、產品單位）溝通。

再來，CSIRT也負責員工的資安管理工作，這是張素碧眼中最重要的工作，尤其是社交工程演練。因為，員工很容易被以假亂真的詐騙訊息搞混，比如，他們曾收到十分相似Paypal的付款通知，還列出該使用者的消費明細。因此，威強電CSIRT每周進行釣魚郵件演練，針對不同員工發送釣魚郵件，對新進人員或曾上鉤過的職員，演練次數更為頻繁。

除了人員管理，CSIRT也負責補漏。因為，光做資安防護，還是難以避免既有系統產生的重大漏洞。CSIRT收到重大漏洞訊息後，會先識別，判斷該產品、弱點系統是否為公司使用的，以及產品影響範圍、嚴重程度，再來安排修補計畫，比如修補時間與服務運作時間錯開等。

CSIRT另一個工作則是合規，包括ISO相關認證，以及各領域的產品資安驗證。比如，威強電有家美國醫療業客戶要求，除了得通過ISO認證，還得符合美國食藥局（FDA）相關規範，才能過關。

以第三方檢測為強化手段

除了基礎工作，張素碧也分享威強電CSIRT進一步加強之處，首先是委託第三方進行資安檢測，至少要1年1次。威強電同時也採購掃描工具，來自行檢測安全性、改善問題。

再來，CISRT還定期委託第三方作業，請配合的資安研究員，偵測集團對外服務是否有漏洞或需改善之處。另一方面，CSIRT也會不定期進行滲透測試和紅隊演練，來強化資安力。

不只如此，CISRT每年還會不定期進行客戶資安稽核，讓客戶檢核威強電的資安環境。張素碧坦言，這種稽核比ISO稽核更有挑戰，因為客戶在意產品是否在足夠安全的環境下生產，因此會格外仔細檢核。

這些做法都是威強電加強資安的手段。不過，今年，ESG企業永續發展成為企業資訊長的重要目標之一，張素碧透露，威強電不只讓IT參與ESG績效討論，也跟進國際腳步，將資安治理和資安長角色納入其中，遵循國內外ESG法遵發展。

 更多臺灣資安大會特別報導請見