首頁|台灣區電機電子工業同業公會

當愈來愈多的網路科技技術，相繼成為企業及政府單位治理的重要工具時，資訊安全的重要性自然也是無庸置疑。為了確實推動資安，行政院自2001年起，每四年制定一個資通安全發展方向，2021年至2024年將進入第六期，強調「主動防禦」，目標是成為亞太資安樞紐，建構主動防禦基礎網路，公私協力創造網路安全環境。

行政院國家資通安全會報中心主任吳啟文指出，主管機關的角色，是推動資通安全管理法，建立模擬場域進行訓練，因此將會定期與能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域的關鍵基礎設施提供者，定期於場域進行公、私聯合攻防演練，推動公私協同治理，提升關鍵設施韌性。

做好資安應化被動為主動
值得注意的是，資安防護已經不能只是關注勒索軟體、APT攻擊、DDoS攻擊、網路釣魚郵件／商業郵件詐騙，或是內部威脅（Insider Threat）、大量機敏或隱私資料外洩的被動因應措施，因為這些資安問題之所以發生，往往已經不是出於單一因素或偶發事件，而是長時間的管理與控制失當所導致。

如德國國會網路在2015年5月遭到駭客攻擊，駭客甚至可以冒充德國總理梅克爾發送電子郵件給議員，之後分析發現，駭客深入國會網路的時間長達數月之久，甚至取得了管理員的權限，可以隨時隨地發起攻擊。

而在行動化、物聯網、雲端及大數據應用的趨勢，關鍵基礎設施提供者的所有組織部門，許多重要資料都已經數據化，風險暴露程度與範圍也隨之擴大。組織因此必須思考建立對應的最適資訊安全治理（Information Security Governance，ISG）模式，由傳統被動式單點的資安防護管理，轉向為持續改善主動防範且全面性整合的觀點，才能夠因應新興科技所帶來的資安風險與挑戰。

資安治理與管理的差別
相較於資安管理只是透過規劃、建立、執行與監督的機制，以保護資訊資產本身的機密性（Confidentiality）、完整性（Integrity）以及可用性（Availability）。資安治理要更為複雜，目的為建立與維護框架、支援管理的結構及程序。

當資安層級提高到資安治理，資訊安全這件事不再只是由單一資訊單位或是少數單位來主導和參與，而是應該因應整個組織的策略、目標、方向與優先順序來與組織內各功能、各部門協同運作，使資訊安全策略與組織營運目標一致，而運作的方向須與組織營運方向一致，呈現的績效也須與組織營運績效連結且相符，並且藉由嚴守政策與內部控制以符合相關法規，確保資訊安全目標及策略，能夠承接組織營運的目標以及策略。

若能將資安「管理」拉高至「治理」層級，許多IoT設備與應用可能發生的資安問題，將可進行較為合適的處理方案。如廠商將智慧醫療、智慧家電系統賣給醫療院所或家庭後，不再只是由資訊單位單獨面對及管理IoT設備安全問題，銷售、設計製造或客服部門也必須參與，可以涵蓋更為完整的服務生命週期，進而減少數據外洩，隱私遭侵犯等問題。

以醫院為例，隨著智慧醫療的應用漸漸普及，醫院聯網設備可能面臨的資安問題也漸漸浮上檯面。衛生福利部關鍵基礎設施資安工作推動專案辦公室主任范仲玫指出，醫院的資安治理須擴大到全院，首先要注意的就是資通安全法。因為資通安全法規範對象及權責機關，會因為公務機關及特定非公務機關而有所差別。如高雄市立醫院的上級機關是高雄市政府衛生局，但假如是特定非公務機關，也就是私立醫院，督導機構就變成是衛生福利部。

因此對可能承攬醫院業務的資訊企業而言，一定要弄清楚醫院的上級機關是誰，否則在需要通報時會發生疏失。如很多人以為台大醫院如果發生資安事件，要跟衛福部通報，但台大醫院的上級機關其實是教育部，而榮民總醫院的上級機關卻是退輔會，所以通報對象其實並不一致。

資安治理框架應加以整合
針對如何達成資訊安全治理，可以選擇的資安治理框架其實相當多，如由國際自動化學會（International Society for Automation，ISA）所創立，後經審核再透過美國國家標準協會（American National Standards Institute，ANSI）文件的型式發布的IEC 62443，已成為國際廣泛採納和認可的工業自動化及控制系統（Industrial Automation and Control System，IACS）的網通安全（Cyber Security）標準，通過IEC驗證後所持認證，可達多邊認可效用。

2018年頒布的資通安全管理法，也處處皆存在資安治理概念，如重視高階長官的參與度，要求組織投注一定比例的經費預算與人力配置。該法也將提升組織資安意識納入，強調橫向情資分享、縱向溝通、回報與監督，推行資安治理成熟度的評估等。

有些專家認為，不同的資安框架彼此之間其實有許多共通之處，組織可以將當中的控制要求項目進行對應與整合，再考量自身的資安策略來規劃，設計出統一的管理制度，以符合要求。

以政府的資安治理框架為例，行政院資通安全辦公室已依據「安全控制措施參考指引」，以及美國國家標準技術研究所（NIST）「加強關鍵基礎設施網路安全框架」，來明定資安防護基準，而在2019年底所發布的《國土及公共治理季刊》，也刊登了一篇〈政府機關資安治理成熟度評估機制〉，當中提及台灣政府資安治理成熟度評估架構，已經參考了多種法規與國際標準而設計。

NIST CSF 資安治理框架
以N I S T 提出的網路安全框架（Cybersecurity Framework，CSF）為例，這個原本是美國政府為改善關鍵基礎設施資安防護的需求而產生的資安治理框架，雖然一開始要求的實施對象是政府單位，但其實並不限於政府單位採用，如封測大廠日月光、國內電信龍頭中華電信，都在自家官網揭露其資安與個資風險管理機制，是參考NIST CSF。

NIST CSF不只是受到全球多國組織與企業的認可，更已影響多國在關鍵基礎建設的網路安全法規面，同時也成為企業強化自身網路環境安全，相當值得參考的工具。

CSF框架涵蓋了資安的五大面向，包括識別、保護、偵測、回應與復原，可以讓組織很完整的建立建立網路安全生命週期的風險管理。而在2018年的NIST CSF 1.1版中，更將五大功能，從22類別與98項子類別，擴增到23類與108項。

新版還特別強化與供應鏈安全、身份識別與驗證，以及自我評估資安風險的相關內容，更能貼近目前實務面的需求，並成為不限組織規模大小和業務型態，所有企業都能通用的網路安全強化架構。

為了方便組織採用，NIST也已提供使用CSF的七個步驟，幫助組織打造與實施所需的資安控管措施。讓組織可以依據其資安現況，進行風險評鑑，然後自己制定想要達成的目標輪廓，評估優先強化的順序以實施計畫，並藉由框架來持續評估其資訊安全成熟度。

資安治理推動應由上而下但要特別注意的是，資安治理框架的導入或是推動，都必須要獲得組織高層的支持。因此，NIST建議組織應透過由上而下且持續回饋的資訊安全治理架構，來降低資安風險。

在管理層面（Executive Level），管理階層應關注組織所面臨的威脅，並針對存在的風險決定因應的措施及優先順序；在業務層面（Business/Process Level），應鑑別關鍵的業務與系統，確保重要業務所存在的潛在風險，得以被完善的管控；在實施層面Implementation/Operations Level），依據管理階層的意向以及業務關鍵性，確保重要的資訊資產得以受到全面性的保護。

所以一旦導入資安治理的概念，組織需要考量的實施範圍與情境，就會豐富而且實際許多，除了一般常見的資訊相關風險外，就組織營運角度，更應該將財務、法律責任、客戶、合作夥伴、產品或服務研發、企業聲譽及形象、客戶及伙伴的信任、營收等與組織營運策略方向直接相關的因素及風險納入考慮，才能有效達成資安治理的目標。

資安治理不只是建設
更要落實執行
想要推動資安治理，導入適當的資安治理框架，不僅有助於資安管理的成效，甚至可能成為組織競爭力的有效證明。如在半導體需求迅速成長的情況下，各家大廠與關鍵基礎設施都已紛紛要求自家供應鏈／商，提出產品／元件的資安防護證明，否則不予採購。當資安品質會開始影響到訂單時，如何從晶片開始確保供應鏈安全，就成為當務之急，取得通行國際的資安認證，也就成為台灣半導體產業繼續維持優勢的主要任務，否則不但可能會影響報價能力，更可能被客戶拒於門外。

事實上，最近幾年發現的案例，諸多是來自晶片資安的問題。例如兒童智慧玩具成了駭客監控家庭活動的最佳工具；手機晶片漏洞讓個人訊息、位置全都露出；硬體大廠的韌體漏洞，讓最嚴密的資料庫也因後門程式有洩露危機等等。

因此組織若真的要落實資安管理的績效，可能要針對產業屬性導入適當的資安認驗證標準，以及安全成熟度評價模型，才能讓客戶及重要夥伴相信組織的資安治理已經相當完備。

資通安全共同標準－ ISO/IEC 15408全球目前進行資通安全產品評估及驗證時所遵循的共同標準，首推ISO/IEC 15408。ISO/IEC 15408目前涵蓋的產品驗證分類共十五大類，驗證過程涵蓋安全需求、設計發展、測試、生產行銷與操作使用等範圍，以確保產品在其生命週期都安全無虞。

值得一提的是，若產品是交由他廠代工，則另需要進行作業現場稽核（On-site Audit）才能完成驗證流程。一旦獲得實驗室認證，共同準則相互承認協議（CCRA）旗下31個會員國皆會承認該證書之效力。

ISO/IEC 15408下各有EAL 1-7級評估保證等級（Evaluation Assurance Level），以判定產品之安全等級。CCRA會員國將彼此承認通過CC EAL 1-4+的證書效力，至於EAL 5-7的認證規範則因為各會員國可自行制定標準，無法相互承認。

由於獲得EAL 3或以上的CC證書的產品，若不符合協作保護規範（Collaborative Protection Profile），CCRA至多認可其保護等級等同於EAL 2。也因此，實務上各家產品透過CCRA取得的安全等級通常只有到EAL 2。

廠商若能交付具有一致性的文件，依照申請的EAL等級不同，驗證時程將會需要4到24個月不等，若文件一致性無法維持，就可能需要額外的時間。

因應工業4.0 而生的IEC 62443 安全標準
對製造業而言，工廠營運需要顧及許多風險與安全性，在工業4.0的趨勢驅使下，許多工廠的產線及設備都已連網，也因此需要一套從IT的觀點來檢視OT營運的安全標準，也就是IEC 62443。

相較於一般的IT資安，OT資安首要考量的是整體廠房的安全性與可用性；一旦發生資安事件，系統需要足夠的韌性以確保生命財產之安全，以及產線營運的穩定性。在IEC 62443標準中，定義了四種角色：資產擁有者、服務提供商、系統整合商與產品供應商，並分別對其課以防護管理要求。

廠商若要取得IEC 62443證書，首先得針對研發管理能力進行成熟度的評鑑成績，再透過實際開發產品（前者的應用）取得產品安全等級。綜合研發管理成熟度與產品安全等級的分數之後，即可取得安全計畫評等分數。即便沒有取得IEC 62443的認驗證，廠商也可以按照其指導方針要求系統整合商、元件供應商，就可以防堵多數的工廠資安事件。

值得注意的是，聯合國已經通過網絡安全共同監管框架，只要是施用在安全性領域的產品，如關鍵基礎設施都需要通過IEC 62443的驗證；換言之，世界各國可以用產品不符IEC 62443規範為由拒絕進口，而且不被視為貿易障礙。

資安治理框架需要有效督導
但就算有可以依循的資安治理框架，還必須要有可靠的遵循管理（Compliance Management）與作業管理（Operational Management）架構加以督導，去強調組織執行遵循管理的相關部門，如何依據作業管理部門所提供的日常設施運作情形的資訊，來評估組織資訊資產風險，並回報高層主管，方能落實資安治理框架存在的價值。

淡江大學資訊管理學系教授蕭瑞祥綜合Von Sloms等專家定義的資安治理管理規範，提出以下八大作業管理規範準則，可供組織參考：
一、邏輯存取控制管理：例如，對存取控制的清單進行新增、更改或刪除等的動作。
二、識別與認證管理：例如，針對使用者ID資料庫與密碼的檔案進行新增、更改或刪除等的動作。
三、防火牆的管理：針對防火牆、工作站連接到LAN以及連上全球資訊網等的設定的權限。
四、病毒與惡意軟體管理：例如，進行安裝與更新防毒軟體。
五、防毒與資安事故的相關類型的掌控。
六、設置與更新工作站，以及伺服器的各項安全設定和組態。
七、確保UPS系統的可用性。
八、確保正確備份及備份儲存裝置的安全。

由於現今企業對IT系統的嚴重依賴，內部IT稽核報告如果一年只做一次，顯然會有緩不濟急的問題，所以每日的遵循衡量與執行活動已是必要的作為。因此，一般資訊安全遵循管理，應該包括下列規範準則與目標：
一、先前辨識出IT的風險的程度是要被管理和操控。
二、使用者資訊安全認知的程度。
三、有助益的程序和標準，有那些完整與整體的資安政策。
四、遵循政策、程序與標準的程度。
五、企業中如果政策沒有被執行時，IT風險對企業影響的位置。
六、管理上、法律與法令上的需求遵循。
七、軟體授權問題。
八、其他。

組織高層要有落實
資安治理的責任心
由於資安治理需要管理階層的承諾，因此資安治理的績效評估，除了要求成熟度評估與資安計畫落實之外，尚要求高階主管需要對資安治理具有應有的責任心（Due care）。蕭瑞祥指出，要落實資安治理，不只是在制定及實行資訊安全政策時，確保是持續每天都在進行的活動，還得要做到應盡的關注與重視，找出任何可能的風險，透過任何可能改善風險的方法，將風險降低，也就是在熟知與資訊安全相關的法令和準則下，會加以考量來決定攸關決策。

如企業董事會或公協會的理監事會及高階主管，因為是攸關組織福祉的最終負責人，自然是最需要採用Due Care來保護組織有價值的資訊資產，若沒有採用Due Care保護資訊資產，可能會導致法律上的疏失。如電電公會的資安小組就是由秘書長擔任召集人直接對理監事
會負責，以落實並確保電電公會資訊安全管理制度能有效運作且持續改善，保障組織運作順暢，且確保營運績效得以發揮。

蕭瑞祥建議，組織高層與高階主管，可以按照先後順序提出下列11個問題，前一個問題的要求落實之後，再進入檢測第二個問題，就可一一看出組織高層與高階主管是否已經能夠落實Due Care。

一、資訊是否為組織的重要資產？
二、是否有找出並確定有哪些關鍵的風險？
三、是否有建立方法或政策以降低風險？
四、組織的資安標準是否有考慮識別風險的存在？
五、組織是否有提供足夠的資源，以落實組織的資安標準計畫？
六、組織資安作業程序是否有被適當的確認和實施？
七、組織的資安標準作業是否為有效的（可以透過第三方做外部驗證）？
八、組織的所有員工是否了解公司的資安政策及指導方針？
九、組織的資安標準是否有定期的進行更新？
十、組織的資安管控措施是否有持續地監測？
十一、所有資安相關的內部控制（包括作業控制）為正常的運作而被稽核？

藉由前述11個組織高層與高階主管需瞭解的組織推動資安治理相關問題，組織高層與高階主管，將更能達到對組織推動資安治理的承諾，組織高階主管也可將此11個問題的認知、回饋、承諾程度等，作為評估組織資安治理機制指標之一，以利實踐推動資安治理之具體評估。

電電公會致力資安整合解決方案
組織高層與高階主管，除應透過框架的績效評估結果，掌握須強化的資安建設方向，以利後續資安改善計畫的訂定，更應時時關注組織整體資安治理成熟度的狀況，方能面對無時無刻，無所不在的資安威脅。

基於全球趨勢及台灣目前產業狀況，電電公會於今年初成立資訊安全暨生態系統委員會（Information Security & Ecosystem Committee，簡稱iSEC），協助整合產業能量，布局資安整合解決方案，主要目標願景為結合產官學和軟硬體產業供應鏈、建立資安場域生態系統、協助接軌國際資安標準、超前部署MIT國際資安合規終端產品以行銷世界、深耕企業和民眾的資安意識，期能協助企業保持及提升競爭力。