【臺灣資安大會搶先報】臺灣BSI總經理蒲樹盛：網路攻擊、IT服務中斷及資料外洩是全球企業面臨共通風險

臺灣許多政府部門的A級單位都必須取得一張國際資安認證ISO 27001，不論是2005年版的11個資安控管領域、133項控制措施，或者是2013年改版後的14個資安控管領域（新增加密及供應鏈關係管理）、113個控制措施，這些單位都透過ISO 27001一套完善的P（規畫）D（執行）C（稽核）A（矯正）流程，不僅提高組織法規遵循的能力，徹底的落實也有助於減少資安事件、提升IT效能和組織競爭力。

現任臺灣BSI標準驗證公司總經理蒲樹盛，是資安及稽核業界領導風險管理的資深專家，對於ISO 27001在臺灣普及化的過程，更是重要推手之一，而他也將於4月初，在iThome舉辦的臺灣資訊安全大會中擔任講者。

蒲樹盛專長個資管理、資安管理、營運持續管理、業務流程管理和質量管理等領域，並長期擔任政府和企業教育訓練講師與諮詢顧問，他認為，當有8成以上企業都擔心面對網路攻擊和IT服務中斷的風險時，若能夠參考適當的國際標準並落實在組織的流程環節中，都有助於強化企業防禦能力和競爭力。以下為書面採訪內容：

企業若要做到持續營運，面臨哪些重要的風險呢？

綜合世界經濟論壇（WEF）2015 Global Risk Report及英國標準協會（BSI）與英國營運持續學會（BCI）最新的2015研究報告的結果，全球企業近年來都共同面臨3個重要的企業風險，包括網路攻擊（Cyber Attack）、無完善計畫的IT及通訊中斷（Unplanned IT and Telecom Outages）和資料外洩（Data Breach）。

若以英國營運持續組織一年一度、針對全球760個企業於組織做的地平線掃瞄報告（BCI Horizon Scan）為例，準備方面進行評估，發現超過8成（82％）的營運持續專業管理人都對網路攻擊事件心懷恐懼，也有8成（81％）擔心缺乏完善計畫的IT及通訊中斷；也有75％擔心如索尼影業（Sony Pictures）在2014年發生的資料外洩事件。

另外，根據「2014 Ponemon 網路犯罪的代價」報告更指出，平均全球每家公司花在防範網路犯罪上的年度成本為760萬美金，且每年以超過1成（10.4％）的成長率持續增加。

對企業而言，又該如何克服持續營運所面臨的風險？

組織面對上述企業常見風險時，千萬不能心存僥倖或過度自信，除了要確實意識到這些威脅外，利用營運衝擊分析（Business Impact Analysis，BIA）的手法鑑別出哪些事組織中的關鍵系統及關鍵業務流程，也必須正確定義最大可容忍中斷時間，整備預防中斷及緊急應變所需資源，建立營運持續計畫（BCP）程序，落實演練，防患於未然。

以高科技製造業為主的臺灣產業，持續營運思維如何落實相關在供應鏈管理呢？

從食安、工安及國際客戶的要求趨勢來看，供應鏈管理已是企業必須認真面對的課題。臺灣企業若要開始建立供應鏈管理制度，可以從下面3個步驟進行。

首先，必須了解客戶及法令要求，例如，電子業有EICC要求，國際知名品牌客戶（蘋果Apple、耐吉Nike及沃爾瑪Walmart等），都有各自不同的特定規範。

其次，要鑑別企業目前符合客戶和法令的狀況為何，除了可以採行自我評估外，也可以委託專業第三方機構進行差異分析，確實了解目前的不符合及弱點狀況，尋求改善機會。

最後，必須透過建立制度以提升競爭力，避免頭痛醫頭的單點改善模式，建立可長可久的管理制度，就可以參考採用ISO國際通用標準，並運用PDCA流程，建立所需要的制度。

既有的資安、風險或是持續營運相關等國際標準，對組織又有何幫助呢？

國際標準制定了產品或服務對環境、安全或健康等層面的最低需求，而且透過這樣的國際標準，可以在全世界範圍內統一使用。

因此，對組織而言，不論是資安、風險或者是持續營運相關的國際標準，首先強調的都是組織管理團隊的正確認知，管理階層具備好的領導力（Leadership），就可以從策略面、管理面及技術面進行思考及整備；再者，因為組織資源有限，組織必須有策略的分派任務以免浪費資源，就必須先做到鑑別組織內風險優先順序。

第三，國際標準要能夠落實，所有人員必須善盡本分、遵守規定，當責（Accountability）很重要，否則就會形成資安漏洞。最後，科技日新月異，風險與科技進步總是伴隨發生，唯有時時掌握新知，持續關切科技風險，才能夠及時對應、尋求相對安全能力。

2015年最嚴重的資安威脅為何？

科技的進步帶來風險的增加，無疑地，IOT、BYOD、Cloud Computing及Big Data等應用，將是未來資安最大挑戰且包羅萬象。

和其他國家對於資安防禦的能力，臺灣的評分為何？

以國家投入資源及成效綜觀，在資源嚴重不足，只能憑藉相關單位及供應商慘澹經營，我國的資安防禦屬於中上程度，實屬不易。

但反觀美國政府在2015年政府預算項目中，光是網路安全（Cyber Security）這個項目中，政府投資就已經超過160億美金，創下空前紀錄，但臺灣的資訊及資安預算，仍相對落後於美、中、日、韓等國。真的要落實資安防護，政府如何在既有的資源調度上，能夠落實資安防護的提升，是政府的一大考驗。

相關報導請參考：「臺灣資安大會現場直擊」