華碩、富邦金控等跨產業14家上市櫃公司共同發起新的資安組織,稱為台灣資安主管聯盟,在4月28日舉辦成立大會,希望因應法規要求,增進各產業資安主管的資訊安全技術應用與經驗交流、培育資安專業人才,以及法規遵從。

這幾年來政府推動資安即國安戰略,政府除了規範政府機關落實資安,近年也開始推動產業要落實資安,特別是去年底金融監督管理委員會(金管會)透過修法方式,要求公開發行公司需記載資安管理作為,以及要求符合條件的國內上市櫃公司,必須設置資安長或主管及資安人員,促進產業資安的推動,然而,不是每個企業都有良好的資安治理經驗與能量,如何幫助企業不只是被動敷衍政策,真正能將資安治理做好?

事實上,過去政府、企業為了強化產業資安,國內金融業、高科技業已經各自有相關行動,特別的是,在4月28日,台灣資安主管聯盟宣布正式成立,與以往不同的是,這個聯盟的共同發起者,清一色都是企業資安主管,並且來自高科技、金融、電信、製造與服務等多個不同領域。

這個聯盟由14家企業代表所共同發起,包括華碩集團、富邦金控、欣興電子、台達電、新光保全、欣銓科技、聯華電子、元大金控、玉山銀行、康和證券、國泰世華、台新銀行、遠傳電信,以及友達光電,是一個能夠結合多個產業的聯盟,並期盼日後能有更多各公司、產業加入。

目前這個台灣資安主管聯盟會長,由曾擔任聯電資訊長、現為華碩集團資安長的金慶柏擔任,會長之下設有推動委員會,接下來則是4大委員會,並由聯盟副會長負責統籌,例如,由富邦金資安長蘇清偉負責人才培訓委員會,台達電資訊長曾立峰負責政策與法規委員會,以及欣興電子資安長馬光華負責推廣服務委員會,至於供應鏈委員會負責人目前尚未公布。從組織架構的設計來看,也顯現該聯盟當前所聚焦的重點,包括:人才培訓、政策與法規、資安實務推廣,以及供應鏈等。

此外,之前已有推動「資安應用服務聯盟」等經驗的台北市電腦公會,也將協助台灣資安主管聯盟運作,扮演聯盟中秘書處的角色,包括承接金管會的部分要求,協助多方溝通,以及負責聯盟的工作規畫與推動任務。

整體而言,台灣資安主管聯盟的這個組織的出現,希望能夠因應金管會資安重大政策要求,聯合產業多家公司之力,共同從公司資安治理角度,增進各產業資安主管的資訊安全技術應用與經驗交流、培育資安專業人才,以及法規遵從,幫助整體國內產業提升資安韌性,同時透過公私協力強化產業零信任資安防護,進而促使企業永續發展。

對於台灣資安主管聯盟的成立,政府也看重產業發起這樣的行動,包括行政院副院長沈榮津、行政院政務委員唐鳳都出席致詞,看來也是隱含公私協力的意味,相互借力與合作,希望產業間也能從多個角度,幫助國內更多企業做好資安。事實上,過去市場上已經發展出資訊長的交流平臺,資安長也同樣需要這樣的環境。

在金管會、證交所與櫃買中心對於資安的法規要求,以及近年上市櫃公司接連發生多起資安事件的狀況之下,在政府單位支持下,多家企業2022年4月合作成立台灣資安主管聯盟,不只徵求政府意見,同時也邀集包含資安、法律與四大會計師管理顧問,以及學界專家群,讓聯盟不只是產業本身閉門造車。

台灣CISO聯盟有4大目標,養成資安主管核心能力居首,並要建立專業資安人才培訓

想要推動資安,需要有足夠與專業的人力、人才、人物。在該聯盟成立大會上,金慶柏表示,從臺灣資安人力的現況來看,包括政府單位、民間企業、資安服務廠商的需求,只達到69%,共缺少超過4萬人,因此,面對人才不足,以及上述政策法規遵循的問題,「台灣資安主管聯盟」主要聚焦於4大面向:

第一,資安主管核心能力養成,須配合公司的數位轉型。

第二,專業資安人才培訓整備,不論是現在公司內IT部門或從其他部門轉調到資安單位,相關證照訓練也是未來推動目標。

第三,資安產業服務能量鏈結,臺灣約有400家資安產品與服務廠商,年營收共約530億元,未來須著重在CISO的角色與相關資安服務能量鏈結。例如,一開始可能以因應CISO需求為主,之後再讓更多資安產業公司成為贊助會員,甚至共同促進資安產業能立足臺灣,面向全世界。

第四,資安治理合規制度建立,配合政府相關政策,協助企業建立資安管理制度符合相關規範。

聯盟已規畫3年工作重點藍圖,招募會員是今年重點之一

針對未來3年,台灣資安主管聯盟現階段也提出工作重點藍圖,他們希望分三年三階段,逐步強化企業防護架構。

成立的第一年,台灣資安主管聯盟有那些目標?共有4項重要工作,我們認為有兩大重點最受關注,分別是針對企業執行長(CIO)的活動,以及針對資安主管的培訓。具體而言,聯盟將透過舉辦資安實務交流活動的方式,來強化企業執行長對資安認知與支持;而培訓資安主管的主要目標,是擬定資安策略與資源配置的能力。

另外,還有兩項工作也將同步進行,像是為了加速企業符合法令規範,將彙整產業資安治理現況與需求,建立資訊揭露盤點表並媒合所需資源,以及將研擬供應鏈資安成熟度問卷,幫助企業快速掌握自身防護程度,作為投入資源的準則。

同時,招募更多會員參與,也是今年的重點。金慶柏表示,加入聯盟不需要繳會費,而未來會透過使用者付費的方式來進行 。至於是否聯盟會員只限於上市櫃公司?興櫃、大型未上市公司能否加入?對此,他表示,並沒有限定,他們都歡迎加入聯盟。

至於明後兩年的規畫,還包括提供產業資安人才媒合、建立企業資安治理資訊揭露參考手冊,以及匯集產業資安政策建言,建立資安政策制定影響力,以及強化威脅情資分享機制,並將滾動式調整服務項目等。

產業資安除了從單一產業領域各自推動,更要帶動整體產業

關於台灣資安主管聯盟成立的背景,除了去年底多項資安方面的法規要求,金慶柏還提到,其實在去年7月,華碩已經與10家公司成立了高科技資安聯盟,當時,這個高科技資安聯盟是在科技部、行政院科技會報、TWNIC協助之下成立,隨著國內法規對不同上市櫃公司做出資安要求,也意味著不同產業都要因應,在政府各個部會長官支持之下,今年期望擴大至各產業,因此有了台灣資安主管聯盟的成立。

基本上,現在新成立的台灣資安主管聯盟,可看做去年高科技資安聯盟的擴大版,出席支持聯盟成立的行政院副院長沈榮津也指出,這樣的團體不只是高科技業需要,需擴及其他產業。

如今,隨著台灣資安主管聯盟正式宣布成立,或許能讓更多不同產業在資安治理培訓這一塊,可以更容易分享與交流。金慶柏在會中也特別提到,例如,以臺灣各行業來說,金融資安的推動比高科技還要早,如何將資安課程結合各行各業原有的訓練,將整體能量帶起來;再者,以供應鏈角度來看,由於資安很多敏感議題,若能透過供應鏈委員會讓某些公司集合在一起,將可以做到封閉式的交流,讓企業更願意敏感的資安資訊分享,避免自己的供應鏈也因同樣問題受害。

另外,為了鼓勵更多企業重視資安,金慶柏以過去企業推動品質管理與環境保護的經驗來舉例。他表示,就如同企業界推動ISO 9000國際標準,當時談的是要將品質管理導入供應鏈,並且導入相關合約;再來是環境保護的ISO 14000國際標準,要求像是不能使用有害的物質,而這些也都是經過可能好幾年時間的推廣,並從大公司逐漸擴及中小企業去導入。

資安管理的ISO 27001國際標準也是如此,現在國內就有上千家企業組織導入相關認證,將資安要求納入合約也正興起,像是美國當地的CMMC就是一例,沒有符合所要求的CMMC等級,將不能承包其業務。

台灣資安主管聯盟共同發起名單

任職公司 姓名職稱 聯盟職務
華碩集團 金慶柏 資安長 會長
富邦金控 蘇清偉 資安長 副會長(負責人才培訓委員會)
欣興電子 馬光華 資安長 副會長(負責推廣服務委員會)
台達電 曾立峰 資訊長 副會長(負責政策與法規委員會)
新光保全 蕭正鴻 資訊長 推動委員
欣銓科技 周可恆 副主席 推動委員
聯華電子 洪錫興 副總經理 推動委員
元大金控 陳秀美 資安長 推動委員
玉山銀行 劉懷聰 資安長 推動委員
康和證券 張志堅 資訊長 推動委員
國泰世華 吳建興 資安長 推動委員
台新銀行 陳詰昌 資安長 推動委員
遠傳電信 朱建國 資安長 推動委員
友達光電 楊峻程 資安長 推動委員

資料來源:台灣資安主管聯盟,iThome整理,2022年4月

熱門新聞

Advertisement