中小企業資安難題有解，政府提供資安管理最佳實務

經濟部中小企業處日前發表「中小企業資通安全最佳要求與實務導入」成果，分別由NII產業發展協進會和工研院，根據「中小企業資通安全最佳要求與實務」，協助總計有10家中小企業，導入相關資安實務和流程；也同時公布一份，針對臺灣超過500家中小企業進行資安調查的報告。

臺灣的中小企業超過120萬家，占整體企業的97％。政府為了協助臺灣中小企業能夠適用一套符合需求的資訊安全管理系統（ISMS），委託NII產業發展協進會、工研院和宏碁公司，根據簡化後的ISO 27001，提出「中小企業資通安全最佳要求與實務」。包含NII產業發展協進會、工研院在內提供的資安輔導，所遵循的規範都是ISO 27001：2005的精簡版，包含網路安全、電腦安全、應用系統管理、人員安全、委外以及法規遵循等6大資安構面，總計有16個安全分類，76個控制措施。

NII和工研院在今年下半年，也同時依照「中小企業資通安全最佳要求與實務」，輔導10家的中小企業進行資安實務的導入。這10家接受ISMS導入的企業囊括資訊服務業、製造業及其他服務業等，整體導入時間為期1～2個月。

科威資訊目前是臺灣最大旅遊資訊平臺業者，全臺灣有超過800家旅行社，採用科威的旅遊資訊平臺或者是委託科威代管。該公司技術支援服務部系統工程師康勝翔表示，科威導入ISMS架構後，發現許多潛藏的漏洞，例如病毒感染、駭客入侵管道，或者是機密資料外洩等。為了改善這些資安環節，科威也在8月做了組織調整，成立資訊部門，由以往負責旅遊平臺系統的研發單位，挑選專人負責相關的資安事宜。

由於ISMS往往涉及許多流程，也難免造成反彈，康勝翔指出，「科威此次導入ISMS能夠成功，公司高層的支持，功不可沒。」而導入後，最大的成效則是讓科威以往每周必須花費2個工作天，進行內部伺服器、個人電腦、筆記型電腦、資料庫和網路品質的維護，「大幅減少到只需要4小時就可以完成。」他說。科威導入ISMS後，也利用一些報表協助監控公司的資訊系統，也可在第一時間發現公司系統內的問題。

NII產業發展協進會事業規畫處經理魯君禮表示，由於ISMS有一套完整的流程可以遵循，資訊部門透過制度化的手段，不僅可以建立系統的預警機制，也因為避免許多重複的工作與人力，也使得資訊部門工作更有效率。

另一家接受ISMS導入的是，開發工業鑽石產品的勁鑽科技。勁鑽科技整個資訊部門只有1個人，除了協助公司系統的穩定，包含ERP、檔案伺服器、網頁伺服器、郵件伺服器等，也同樣負責公司相關的網路穩定，和20臺個人端電腦的維護等工作。也因此，資訊人員在疲於解決使用者部門的需求時，資訊安全往往難以全面顧及。

勁鑽科技導入ISMS最大的實質效益，就是提升使用者部門對於資安的認知，一些不安全的行為，也獲得相對規範。例如列印文件沒有立即取走；檔案放在共用硬碟，容易導致機密資料外洩；沒有定期進行Windows Update；或者是，離開座位時，沒有設定必須輸入密碼的螢幕保護程式等。該公司MIS工程師簡谷霖說，透過這一次ISMS的導入，強迫公司同仁意識到相關資訊安全的嚴重性，提升同仁資安意識，並做到資安6大構面中的人員安全。

因為導入ISMS讓以往不知道在忙什麼的資訊部門，所有的工作都有紀錄可查，每一個使用者部門的要求，也都透過書面記錄讓公司高層知道。勁鑽科技總經理特別助理龍美麟說，不僅主管開始看得到資訊部門的績效，也因為可以將使用者需求作書面統計，也連帶提升資訊部門的效率。

工研院資訊技術服務中心資訊服務組專案經理陳國增表示，所有文件與流程都制度化、文件化後，有利於企業內對於相關資安事件的統計與分析。他說，以勁鑽科技為例，內網相對外網單純、安全的情況下，每一次系統發生的狀況、使用者的需求，都可以透過報表分析和統計，將系統最常面臨的問題、使用者最需要解決的困難，透過教育訓練的方式達到問題解決的目的。

除了「中小企業資通安全最佳要求與實務導入」輔導廠商的心得發表外，NII產業協進會也於日前發表一份線上中小企業資安的調查報告。

這一份臺灣534家中小企業資安調查結果，是根據NII產業發展協進會今年上半年所設立，臺灣第一個資安認知學習中心i—Security的線上調查結果統計而來。從今年上半年迄今，由各大中小企業自行到i—Security進行線上資安評估以來，NII產業發展協進會事業規畫處經理歐弘詹表示，滿分5分，電腦安全（平均分數3.37分）和應用系統安全（平均分數3.04分），是分數較高的2個項目。至於，網路安全（平均分數2.71）和委外安全（平均分數2.64），則是目前安全分數較低的2個項目。

歐弘詹解釋，所謂的電腦安全，包含一般基本的電腦系統與實體設備保護、防毒軟體、存取安全和密碼安全管理等。在臺灣，目前已有高達9成5以上的企業，都已經安裝防毒軟體，因此，電腦安全的平均分數較高。

除了電腦安全外，歐弘詹表示，在6大資安構面中，委外與法令遵循，往往與產業別無關，與公司大小有關，許多公司往往在進行資安委外時，沒有將保密條款或者要求委外廠商提供詳細的系統文件與使用手冊，也使得委外一旦結束，反而造成企業內部的資安漏洞。

人員安全則囊括人員安全管理、安全認知訓練、資通安全事件通報等，對企業而言，歐弘詹認為，「最大的風險在於沒有制訂相關的政策，缺乏遵循的標準。」另外，有45％～60％的中小企業，並沒有能力適當的管理網路安全，也使得網路安全成為6大資安構面中，平均分數倒數第二低的項目。

歐弘詹說，做得不好的幾個項目中，大部分都與人員安全的構面相關，顯見，「人，才是資安最大的漏洞。」文⊙黃彥棻