Covid 19疫情逐一解封之際,各產業紛紛動起來,各產業因三年的疫情侵襲下,短期三、五年、長期十年的企業營運計畫均被迫,重新洗牌。如今企業逐漸復甦的同時,資安威脅議題從未減反而增加,尤其是製業,因此對於台灣的護國神山產業,提前部署接下來將面臨接踵而來的挑戰,將是首當其衝。
本月15日,位於科技重鎮新竹地區,由數聯資安攜手重要夥伴Cloudflare,共同舉辦一場專為製造業資訊安全人員打造的一站式資安合規服務的落實作法,分享情境式案例事件,以及直接面對專家的一場活動。數聯資安是國內專注於資安長達18年時間,服務範疇擴及北、中、南三地,同時擁有超過150名服務團隊的資安服務廠商; Cloudflare 則是一家全球網路資安廠商,以協助企業組織於網際環境內營運確保安全、私密、快速與可靠。
數位化演進 製造業三大挑戰
活動中,數聯資安總經理李明憲表示,「隨著數位化的增加,安全防禦的警覺相形提升,同時國內金管會於110年12月底公布「上市上櫃公司資通安全管控指引」的積極推動資安的規範與指引,對於企業組織而言,相信大家已經感受到許多的壓力,數聯資安同時也觀察到製造業相較其他產業上身負更多挑戰,例如IT與OT的協作、異地跨國、跨廠區的營運、供應鏈資安的防禦,供應鏈安全除了軟體供應鏈外,製造業更是關注零組件上下游的供應商安全,甚至到廠商的資安成熟度的評鑑等均是製造業當務之急的壓力與挑戰。」因此,李明憲強調,「數聯資安希望透過這場研討會落實協助解決製造業的痛點與減少壓力,從如何依循主管機關的要求下,進行資安管理面合規的因應,以及目前數位發展部積極的推動零信任架構下將數聯資安的服務與Cloudflare的資安產品,雙方整合為更具強而有力的資安防禦機制,提供給上市(櫃)公司們明確可落實的管理方向與防禦策略。」
零風險是不合理的期望
一站式服務達成合規是數聯資安服務企業組織的核心理念,數聯資安的資安管理顧問部經理陳文川表示雖然ISMS是一個驗證的標準,是一套有系統地分析和管理資訊安全風險的方法,但是企業組織想要達到零風險的資訊安全,這是一種不合理的期望,因為ISMS的目標是透過控制方法,降低資訊風險到企業組織可以接受的程度範疇內,因此會中強調提醒大家對於ISO/IEC 27001 (資訊安全管理系統)所提供的資訊技術、安全技術、資訊安全管理系統的整體概念,企業組織要理解,ISO/IEC 27001是協助各種不同類型之企業組織、各部室單位了解如何改善保護企業組織的資訊資產的基本原則、原理與觀念。
雙向落實資安防禦與合規
數聯資安一站式服務的導入流程有六大方向,現況診斷與差異分析、風險評鑑與管理、建立資安管理系統、制度落實、內部稽核、外部稽核並取得證書。陳文川表示,這六大方向的工作項目的五個階段與PDCA循環式品質管理相呼應,第一階段現況診斷與差異分析與第二階段風險評鑑與管理,相當同於Plan(規劃),其中的現況訪談、資訊資產盤點、風險評鑑,佔據非常重要的一環,如同Plan(規劃),數聯資安服務超過四百家的政府、金融、醫療、上市櫃公司及高科技製造業等,資產盤點經常對於導入資安管理流程接續的營運影響面有著不容忽視的重要工作項目之一;第三階段建立資訊安全管理系統,相當於是Do(執行) 建立管理制度程序文件;第四階段制度落實與實施稽核,則為Check(查核) 第五階段則為稽核作業與驗證ACT(行動)。
數聯資安的顧問服務依循這六大方向,五大階段的一站式服務機制的同時,上市(櫃)公司資通安全管控指引與ISO 27001:2022條文的技術因應的方式,則透過數聯資安整合諸多合作夥伴的產品來進行進階的服務,例如資通安全管控指引中的第六章資通安全防護及控制措施要求上市(櫃)企業如果有對外服務之核心資通系統者,應具備應用程式防火牆,以及對於進階持續性威脅攻擊應採取防禦措施,這部分的因應機制數聯資安則整合重要伙伴之一Cloudflare的Zero Trust服務、Anti-DDoS、CDN及WAF保護等,來聯合建立堅韌的防禦網。
因此,當政府法規雨後春筍般一一露出,無論是強制要求企業執行落實,或是規勸鼓勵企業逐一配合等等,這些非企業單一自身可以完成,需要有適切,專業的顧問諮詢廠商來協助,數聯資安的顧問服務團隊除了有超過300張專業技術證照外,更有實務諮詢、輔導政府、金融、醫療、上市櫃公司及高科技製造業的長年經驗,同時數聯資安的智能化資安監控平台是目前業界第一以大數據(Big Data)來驅動監控,並且業界唯一通過三項ISO認證SOC中心,因此其專業的服務能量足以展現出資安服務的量能與亮點,也是大家所信賴的重要資安服務好夥伴。