又是業內產業標準,又是上市櫃資安指引,還有客戶要求的資安稽核,製造業該如何化繁為簡達到法規遵循?製造業OT環境不再封閉、遠距外點互連的安全性,該如何導入零信任架構?
近年國內數家製造業接連傳出遭勒索病毒加密攻擊,導致營運停擺數天或機密資料、原始碼外洩等災情,主管機關開始加大對製造業的法規要求,包括上市櫃公司需設置資安長、資安專責人員,且導入資安管理系統及驗證通過者可納入公司治理評鑑指標加分項目。有鑒於製造業對於資安管理制度及雲端資安實務詢問度日增,數聯資安與合作夥伴Cloudflare日前舉辦「製造業資安研討會」,分享製造業資安導入經驗。
以新版ISO 27001為基礎 對齊各項產業標準
有豐富製造資安導入經驗的資安管理顧問部經理陳文川指出,現今製造業面臨的資安法規力道已逐漸增強,除了「上市上櫃公司資通安全管控指引」外,有相當多的產業標準對於資安有深入著墨,包括汽車產業的TISAX(可信任資料安全評估交換機制)、SEMI E187(半導體設備資安標準)、ISO 26262(車用電子系統的功能安全規範)等。仔細深入這些規範內容,不難發現跟新版ISO 27001:2022資安管理系統有許多相通之處,因此建議企業以新版ISO 27001為基礎,在擴大到個資保護、資訊服務,接著與各項產業標準對齊,繼續深入是營運持續管理,最後達到資安治理。
陳顧問也提到,新版ISO 27001新增許多控制措施,包括防制資料外洩、雲端資安、組態管理及持續監控等,若企業能及早規劃部署相關工具或服務可達到較好的控管成效,或是能自行設計監控機制來管理。此外,對於已經導入ISO 27001的企業在2025年須完成轉版之前還有一段緩衝期,尚未導入過的企業則會建議在11月1日後直接以新版ISO 27001:2022做驗證。