【富邦人壽以全球最佳資安框架，締造金融新防線】成為臺灣金融業率先通過NIST CSF驗證的公司

隨著金融保險業的數位化程度日益提升，網路投保、線上諮詢、行動服務等數位場景，逐漸成為保險公司與客戶互動的主要模式。然而，數位化的紅利也同時帶來日漸嚴峻的資訊安全挑戰，包括：駭客攻擊、惡意軟體、網路詐騙、資料外洩等風險。

因此，金融產業的數位轉型，不僅要因應數位金融服務帶來的創新與便利，更需要面對資安的多重挑戰；資安問題不只關乎企業營運，同時攸關客戶信任與資料保護，更可能動搖客戶對金融機構的信任。因此，如何建立一個完整、成熟且具備國際水準的資安管理架構，也就成為金融業不可迴避的重要課題。

美國國家標準和技術研究院（NIST）推出的網路安全框架（Cybersecurity Framework，CSF）目前被視為全球網路安全領域的重要指標。富邦人壽日前宣布，在總經理陳世岳全力支持下，透過第三方驗證單位──臺灣BSI，順利通過NIST CSF驗證，成為臺灣金融界率先通過此一資安框架驗證的業者，不只展現在資訊安全治理方面的堅強實力，更是落實對客戶資料保護的承諾。

為了能在瞬息萬變的網路威脅環境下，確保客戶資料與企業資產安全，富邦人壽在已有ISO 27001等資安管理系統的基礎之上，選擇另外導入許多國際資安業者和企業肯定的NIST CSF框架，並順利通過驗證。

富邦人壽資訊安全處副總經理暨資安長黃文解指出，他們在資安體系深耕十年，有ISO 27001資安管理系統的驗證框架，可確保企業本身具有CIA──機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）的重要基礎。

然而，在日趨嚴峻的網路安全威脅下，富邦人壽也意識到資安必須不斷強化，若能進一步導入NIST CSF資安框架，將有助於公司全面掌握網路風險、強化資安治理，並能透過實踐此框架的最佳標準，持續提升網路安全成熟度。

黃文解進一步表示，NIST CSF資安框架著重於網路風險的辨識與管理，通過「識別（Identify）」、「保護（Protect）」、「偵測（Detect）」、「回應（Respond）」以及「復原（Recover）」五大核心構面，協助企業持續強化資訊安全防禦與治理。「而成功導入NIST CSF對於富邦人壽而言，不僅僅是一份『驗證』，也為該公司的整體資安治理，帶來多重效益。」他說。

結合NIST CSF與ISO 27001，企業資安治理升級

導入NIST CSF資安框架之前，富邦人壽就已深耕資訊安全管理領域多年，十年前便已導入ISO 27001資安管理系統。

ISO 27001是目前國際上最常見的資訊安全管理標準，主要強調CIA概念。然而，黃文解表示，資安治理久了之後，開始更加看重網路安全的重要性，希望保護的層次能再往上提升。

面對日新月異的網路威脅，單純以ISO 27001為主的資安管理體系，企業已經不足以應付越來越複雜的網路攻擊，因此，需要在網路安全的治理與風險管理方面，更上一層樓，才能夠更加全面且具彈性的方式，因應複雜多變的攻擊手法。於是，富邦人壽高層便思考，除了已有的資安系統管理架構，是否能做得更好，保護的層次能否再往上提升。

CSF資安框架是NIST制定，不僅凝聚了許多國際企業的資安最佳實務經驗，對於「網路風險」更是有系統化的全面評估與應對策略，也能適用於各行各業，讓企業能夠根據自身的需求與資源分配，更有彈性地進行資安治理。

黃文解表示，企業與組織在相關的資安實際應用層面中，可藉由CSF框架涵蓋的「識別、保護、偵測、回應、復原」五大面向，這也很貼近實務面對的風險管理需求，加上零信任的概念近年來越發重要，透過持續性的進行風險辨識與成熟度評估，對於企業和組織而言，都能夠更有系統且循序漸進地強化網路安全，而這樣的資安框架就能更完整地整合到組織內部。

他認為，CSF資安框架與ISO 27001資安管理系統之間，還可以形成相輔相成的體系，兩者非互斥而是彼此融合，都能讓企業得到更完善、更多層次保障；藉由通過驗證，也可對外展現對客戶資料保護的承諾，同時透過第三方機構的評估，了解還能如何再進步。

NIST CSF能成為跨部門溝通語言

在資安威脅不斷演變的當下，金融保險業經常成為駭客的目標，主管機關與投資人對於資安治理的要求越趨嚴格，各界對企業資訊安全的透明度和可靠度，也有更高的標準。

富邦人壽資訊安全處協理賴居正表示，資安單位在企業內部有時被視為「比較龐大、較難溝通」的角色，因為要跟大家強調資安的重要性，可能被視為製造「麻煩」或導致專案進度變慢。

然而，金融業的環境相當敏感，主管機關每年都會有新的規範與要求，客戶對於個資保護的期待值也很高。賴居正認為，長期下來，如果沒有一個具體且一致的框架來做溝通，內部的人員就會感到很困惑，甚至認為資安的要求是「多頭馬車」。

富邦人壽早在2018年就成立資安專責單位，並且開始思考資安到底要做什麼。賴居正坦言，雖然ISO 27001符合主管機關的資安要求，但他認為，在對內、對外的溝通，以及更高層次的管理與治理上，ISO 27001並不夠，還需要更完整的框架才行。

臺灣金融業是主管機關高度監管行業，面對主管機關各方面的資安要求，以及社會大眾對金融產業極高的信任要求，該公司也觀察到：國際有越來越多的大型企業，開始引用NIST CSF資安框架，以此說明自家資安治理的成熟度。

「身為金融保險業的一份子，富邦人壽不僅希望能夠跟上國際的趨勢，甚至要走在前端，這也讓該公司更加堅定導入並通過NIST CSF驗證的決心。」賴居正說。

因此，對於富邦人壽而言，NIST CSF資安框架的採用，不只是資安團隊的工具，也是一種和管理層、和資訊部門對話的「共通語言」，能明確區分各項措施屬於哪個面向，也能更容易和資安單位、資訊部門，以及公司高層溝通。

賴居正表示，2021年後，NIST CSF已用到公司財務報告及ESG報告的架構，「透過NIST的CSF資安框架，可以更有系統地呈現富邦人壽在資安治理上的進展。」賴居正說。

富邦人壽在總經理陳世岳（前排中）的支持下，由資安部門花費十個月的時間與心力，自行導入美國NIST CSF網路安全框架，讓該框架成為全公司、跨部門溝通資安的共同語言。（攝影／洪政偉）

NIST CSF導入有賴於跨部門合作

富邦人壽最終順利通過NIST CSF驗證，但是，這個過程的進行並非一帆風順。金融業常見的複雜系統及合規的要求，使得導入NIST CSF資安框架需要跨部門的高強度合作，包括資訊部門、資安單位、風控，以及審計稽核等。

此外，NIST CSF資安框架雖然脈絡清晰，但要落實到實務中，需要對組織的人員架構、既有流程和企業文化做出部分調整。例如：在辨識（Identify）階段，需要盤點企業所有關鍵資產與風險範疇，過程當中經常涉及不同系統的負責人；在保護（Protect）階段，需要資安政策、技術工具，以及教育訓練的支援，員工對新流程的接受度也是關鍵。

在偵測（Detect）階段，需要部署更全面的監控系統，例如：異常流量分析系統、入侵偵測／防禦系統等；而在回應（Respond），以及復原（Recover）階段，則需要與各部門保持順暢的通訊機制，一旦發生意外事件，可以在最短時間內聚合資源，將影響降到最低。

面對這些挑戰，黃文解表示，富邦人壽透過多次跨部門會議及內部教育訓練，讓每位員工逐漸理解：資安並非「只有資安部門在管」的議題，而是整個組織共同的責任。

當然，各項制度的落實也非一蹴可幾，而是持續循環的過程，賴居正表示，從最初的評估到最後的驗證，富邦人壽就用十個月的時間，一步步累積經驗，奠定了這次成功驗證的基石。

NIST CSF可協助與內外部利害關係人之間的溝通

富邦人壽對於通過NIST CSF資安框架的驗證，設定了短期和長期目標。黃文解表示，短期目標有二：首先是「與內外部利害關係人溝通」，藉由通過NIST CSF驗證，對內，讓管理層、員工都能更清楚知道：「我們現在哪些網路安全的措施已經到位？接下來還有哪些必須提升的空間？」；對外，可以藉此向主管機關、股東，以及客戶證明，更清楚了解該公司在資安保護方面的投入，以及具備的能力。

黃文解進一步解釋，透過導入NIST CSF資安框架，對內做到重新檢視公司資安成熟度，並且透過系統化的風險管理架構，讓員工跟資訊部門之間的合作更緊密；讓公司同仁對資安認知更為深刻，知道好在哪裡、不足在哪裡，因而能朝特定目標改善。

對外而言，壽險保戶在意的，就是個資與交易資訊能否安全無虞，他指出，過去很多保戶或許對「網路投保」心存疑慮，當富邦人壽能拿出NIST CSF驗證來做背書時，對於打消顧客疑慮、讓他們願意嘗試線上投保，具有不容小覷的引流效果。換句話說，他認為，資安驗證並非只是一紙證書，而是能在營運端創造真實的價值，對於該公司推廣網路投保等線上業務具有正向效益。

賴居正則表示，當富邦人壽將作業流程統整到NIST CSF的五大構面後，方便清楚定義每一起資安事情和資安措施，究竟是「識別」、「保護」、「偵測」、「回應」還是「復原」等不同面向，可以讓每件事情的歸屬更清楚。

比方說，假設今天管理高層提出問題：「富邦人壽在保護（Protect）階段當中，做了哪些措施？」或者「如果遇到突發狀況，回應（Respond）機制是什麼？」賴居正表示，透過NIST CSF資安框架，就可以給予立即、明確的答案，並用一張完整的圖像呈現。

另外他也舉例，像是主管機關提出不同的資安要求時，該公司就能透過五大構面，釐清到底是哪一個構面需要補強，也能夠和資訊部門、營業部門等不同單位，在同一個脈絡下討論，不會顯得資安部門好像是來找大家麻煩的。

其次，也能藉此自我檢視與外部評估，黃文解指出，經由第三方機構進行客觀的稽核，不僅可確認該公司目前的資安成熟度是否符合國際標準，還可以進一步擴大驗證範疇，強化網路安全的防護措施。

黃文解認為，該公司內部過去也曾做過一些成熟度評估，但透過第三方驗證，可以更公正客觀地協助該公司找到合適的定位。「這一部分不僅僅是一種『合規性』的保障，更是一種自我檢核。」他說。

賴居正補充說明，富邦人壽2023年想更進一步了解相關的資安措施：到底做得好不好？夠不夠？又該如何評估？他發現，單純靠ISO 27001的定期內稽、外稽，這種只能知道「通過」或「不通過」的驗證方式，對於該公司提高資安防護水準的作為是不夠的。

為了更具體了解富邦人壽的資安成熟度，以及接下來該如何完善，賴居正表示，該公司便積極尋找合適的資安框架，以及類似BSI這樣的第三方驗證單位，以客觀、第三者角度更深入審核，讓富邦人壽真正掌握該公司實際資安成熟度，也可以知道同業的水準與企業的資安最佳實務為何，誠實面對可能有疏漏或缺口的部分。賴居正坦言，這其實就是富邦人壽導入NIST CSF的最大動機：希望提升資安治理能力，並以客觀的方式取得證明。

黃文解表示，NIST CSF 1.1資安框架有五個構面，可用以檢視現有的資安成熟度，在短期內，該公司希望透過驗證，向各方展現富邦人壽在保護客戶資料上的用心與能力；同時更清楚地了解自身在網路安全方面的不足，並從第三方的角度，得到誠實而客觀的建議；更重要的是，可以透過這個過程，讓組織的安全策略與行動更加扎實。

將資安的成熟度從普遍能夠達到的第三級，再往上提升

長期而言，富邦人壽所訂出的目標有三個，黃文解表示，首先，全面提升資安成熟度，將NIST CSF資安框架的各項控管機制融入日常營運當中，持續追求更為高階的資安成熟度，讓企業和組織的資訊安全水準可以做到與國際同步。

黃文解也透露：「就目前的評估結果來看，富邦人壽在部分面向已達第四級（註：一般NIST CSF成熟度有四級）；多數屬於第三級。」他指出，未來該公司希望能把所有資安構面的成熟度，都全面提升到第四級。

其次，培育資安人才與資安專業，除了建立資安制度，更重要的是，要投資在資安專業人才與相關的資安培訓上，促使員工能夠透過持續進修與驗證，緊跟全球資安發展趨勢。「這不僅是管理制度的升級，也包含人員的教育訓練與專業能力的養成。」黃文解說。

第三，展望未來，NIST CSF 2.0版本先前已經問世，而在新推出的版本中，更加強調「治理（Governance）」構面，包括：高階管理階層的參與、策略與政策擬定，以及監督與報告機制等。

隨著政府主管機關也不斷關注生成式AI、區塊鏈、雲端服務等新興領域的資安問題時，賴居正表示，若無法妥善將資安問題融入技術應用的初期，便有可能在後續發展留下資安風險。因此，該公司也藉由NIST CSF框架，可以更快把新議題納入既有框架進行評估，確保企業能隨著趨勢演變而持續進步。」

他也補充說明，最初該公司要導入NIST CSF資安框架時，主要想要梳理資安單位該做什麼，接著，才能夠更有效地和公司內部各部門，尤其是資訊部門的溝通協作。隨著NIST CSF資安框架發展到2.0版本，更加強調「治理」這個構面時，他認為，對於資安部門而言，透過NIST CSF資安框架，反而可以更輕鬆地向總經理與董事會報告各項資安策略，以及相關成果。

賴居正指出：「未來像生成式AI等新興議題，也能放在NIST CSF這個共同資安框架，進行風險的『識別、保護、偵測、回應與復原』。」

花10個月衝刺導入進度，從零開始、最終成功通過NIST CSF驗證

富邦人壽資訊安全處經理曾淑玲回憶，整個驗證的籌備期，長達十個月左右。她提到，剛開始，該公司曾經想找外部顧問來協助導入NIST CSF驗證，但在臺灣沒看到真正導入成功的案例，加上沒找到合適的顧問，所以，最後決定由富邦人壽資安處的內部同仁負責，執行通過NIST CSF驗證的專案。

曾淑玲指出，過去該公司在導入資安國際驗證，或資安框架制度，例如BS 10012等驗證導入，都頗有經驗，加上部門主管信任的前提之下，花了十個月，包含差異分析、弱點補強，以及和臺灣BSI（英國標準協會）進行高度合作的過程，從預審再到正式驗證，一路都非常緊湊。

在準備NIST CSF驗證的過程，曾淑玲表示，分成幾個重要階段。第一階段先進行差異分析與策略制定，先完成差異分析，再根據分析結果進行弱點補強。

曾淑玲指出，由於NIST CSF在臺灣，先前只有一個通過驗證的企業導入案例，企業若直接向驗證單位提出要求，卻對自身狀況毫無頭緒，很可能因時間不足或問題過多，導致整個過程吃力不討好，「前期的自評與組織溝通尤為關鍵。」她說。

賴居正補充指出，富邦人壽剛開始尋找相關輔導資源時，發現臺灣其實找不到真正熟悉NIST CSF驗證的輔導顧問，若只是針對條文內容、照本宣科，資安處同仁甚至比外部顧問更了解自身企業運作邏輯。

曾淑玲表示，公司最後選擇自行導入NIST CSF驗證，關鍵是借助該公司資安部門同仁，先前有豐富的國際資安驗證（如BS 10012）導入經驗，加上熟悉規則、掌握制度導入的門道，並且與臺灣英國標準協會（BSI）保持密切合作，才能順利完成任務。

賴居正也提及，NIST CSF資安框架的驗證，比起ISO 27001資安管理系統，兩者之間其實還是存在許多細節上的差異，「所以，富邦人壽必須和臺灣BSI進行反覆討論後，才能真正釐清條文所要表達的精神。」他說。

第二階段就是：進行前期評估與模擬驗證。賴居正表示，他們先邀請臺灣BSI以「模擬考」形式先做一次預評估，可以讓富邦人壽更快速了解，第三方驗證單位在驗證過程中，到底重視的內涵是什麼，以及更清楚區別NIST CSF資安框架的跟ISO 27001的差異性。

臺灣BSI指出，NIST CSF資安框架跟ISO 27001之間，有九成的重疊，前者更強調實際的控制措施與網路弱點分析。賴居正表示，因為透過該次預評，該公司更清楚「應該補強哪些環節」，才能在去年（2024年）9月正式查核時，最終以零缺失通過臺灣BSI驗證。

第三階段就是：教育訓練與內部溝通。富邦人壽資訊安全處副處長陳慧玲強調，ISO 27001的基礎，為此次驗證提供了重要支撐，同時針對內部差距分析進行全面教育訓練，幫助各部門降低導入NIST CSF資安框架的阻力。

當初ISO 27001剛出現時，有些企業完全依賴顧問寫文件，內部卻不真正了解要做什麼？為什麼這樣做？即使拿到證書，也難以對實際資安運作帶來幫助。

賴居正表示，同理，企業想真正落實NIST CSF框架，需要內部的資安人員、資訊人員、甚至風險管理單位一同參與，才能真正把NIST CSF資安框架融入日常營運。