今年已邁入第三屆由SGS舉辦的「2020資訊治理年會」。除了探討最新的資安趨勢,也表揚在資安治理上表現優秀的卓越夥伴。今年「資安管理卓越獎」由趨勢科技及凌群電腦獲得,「個資管理卓越獎」則由台灣人壽和中華電信客戶服務處拿下。
身為國際專業的驗證機構, SGS在台灣已深耕69年,資安驗證經驗豐富,通過SGS驗證ISO 27001的企業多達240家,總發證書超過430張,「SGS是獨立的第三方驗證機構,所頒發的獎項也具有公信力,」SGS台灣驗證及企業優化事業群資深營運總監鮑柏宇說。
積極涵蓋驗證廣度,完整落實資安管理
今年四家獲獎企業各擅勝場。SGS驗證及企業優化事業群資訊治理部經理何星翰指出,趨勢科技以超越業界的標準要求自己,ISO 27001驗證範圍橫跨全球研發中心,在SGS的客戶裡,達到全球驗證範圍並不多見。趨勢科技更領先同業,今年底將透過SGS,申請日本特殊法規ISO 27014驗證,「這在台灣還沒有人申請過,顯示他們積極遵循各司法管轄區法規及新興國際標準的雄心。」
凌群電腦是首家獲SGS頒發獎項的SI業者,陸續通過ISO 27001、BS 10012與 ISO 20000等驗證,其中ISO 27001驗證範圍包括新成立的資訊安全監控中心及研發中心與技術中心等24個部門,驗證範圍幾乎涵蓋全公司。
相較其他電信公司客服處,中華電信的規模更大,即使全台有10多個據點,客服人數超過千人,但仍詳細落實個資保護要求,早在2013年便領先業界取得BS 10012個資保護驗證。台灣人壽則是國內第一家取得新版個資管理驗證的金融服務機構,管理階層致力於顧客服務與個資保護,所有分公司、區域中心、通訊處及電銷中心等全組織通過驗證,涵蓋範圍堪稱典範。
資安法上路牽動產業,資安力就是競爭力
SGS長期深耕資安領域,對趨勢變化敏銳。何星翰表示,以台灣來說,近年影響最大的就是去年上路的「資通安全管理法」。由於法規涵蓋層面比起國際標準更加具體且明確,SGS的客戶群近四成是公務機關,或適用資安法的特定非公務機關及公司,馬上面臨適法性的要求,資安稽核業務及責任更加吃重。
長期為企業提供資安稽核服務下,何星翰指出,許多公司對於資安認知程度,還停留在單一IT部門階段,沒有體認這是全公司的事,因此稽核時常看到骨幹網路管理有一定水準,但駭客卻可能從業務單位或其他非IT單位的電腦駭入,「所以只靠資訊單位推動ISMS,資安管理成效有限。。」
同時,有些公司在資安預算和資源的投入,還是相對不足,過於老舊或面臨EOS (End of Service) 的軟、硬體,都讓駭客有機可趁。而對公務機關來講,大多資訊業務委外處理,廠商良莠不齊加上內部人員的有限能力,也會影響資安保護,「這些都是一環扣一環,尤以資安意識的不足更成為資安管理流程上的漏洞。」
何星翰表示,SGS與企業是長期合作,當企業導入驗證後,每年仍會定期追查,在持續稽核過程中會清楚讓廠商知道不足與可補強之處,並透過SGS Academy管理學院的公開訓練課程,協助企業機關持續精進與學習改善。
資安法上路後,對稽核員也是挑戰,「稽核的深度跟廣度,都跟以往不同。」在既有國際標準的查核下,不僅要確認法規項目,同時也要掌握稽核時間與效率,因此SGS對稽核員的訓練也不同以往,何星翰透露,「內部調整大半年,不斷訓練檢討,為的就是找出兼具稽核深度及效率的作法,確認法遵成熟度。」同時,SGS也不斷擴編稽核團隊,目前內部具有ISO 27001稽核員資格的同仁逾20位,為業界最多,明年還將持續擴充以提升稽核能量。
鮑柏宇則以國際角度切入資安趨勢,因應聯合國永續發展委員會在全球大力推動17項「全球永續發展目標」(SDGs),其中包含全球供應鏈管理,從早期注重品質、交期,或生產製程,近年則慢慢擴展到ESG,在公司治理端,資安就是關鍵項目。由於駭客入侵手法層出不窮,也可能透過供應鏈的電腦系統駭入企業本身,「所以除了企業自己推動資安管理,也開始大力推動供應鏈遵循法規。」
台灣以代工起家,是許多國際大廠的重要供應鏈,未來資安力就是台廠在國際上的競爭力;同時,台灣廠商也有自己的供應鏈,加總的影響範圍,更凸顯資安管理議題的重要性。
資安深入各垂直領域,開放銀行成焦點
近來台灣另一個熱議話題則是「開放銀行」(Open Banking),今年又被稱為「開放銀行元年」,台灣對Open Banking採取三階段開放措施,第一階段「公開資料查詢(Open API)」已於去年上線,今年下半年則邁入第二階段「消費者資料查詢」,第三階段則為交易面資訊。
雖然開放長久深鎖的大數據,將可望為金融產業注入創新活水,但在開放同時,監管機關對於資訊安全更是嚴格要求,何星翰表示,目前台灣高度參考英國和新加坡的法規,期望與先進國家接軌,這些法規項目都需要專業第三方做定期查核。
SGS除了持續跟上法規要求,同時也會協助銀行或TSP(第三方服務業者),提出查核報告,協助企業客觀呈現資安管理之有效性。
資安是每個產業都會碰到的課題,「未來資安對應到各個垂直產業的應用同時也是趨勢」鮑柏宇說。除了銀行,車聯網、工業4.0等新科技也帶動汽車業和製造業的資安熱度,就連美國FDA也要求未來連網醫療器材需有資安管理。
企業想把關資安,就需要專業第三方稽核驗證。何星翰表示,SGS台灣的優勢在於獨立研發的能力,相較同業,SGS台灣更能針對新的驗證法規,獨立設計稽核流程,或是能在短時間內針對企業不同需求,設計客製化的查核方案,「所以我們不只是執行稽核,對於新標準的查核需求,或查核方案的彈性跟機動性,都領先同業。」
鮑柏宇更進一步指出,SGS服務項目多元,橫跨的產業寬度,「以全世界的驗證單位來說是最廣的。」SGS內部有許多產業專家,再加上集團的全球網絡連結,「我們提供的不只是單一驗證服務,而是一站式的解決方案。」資安議題持續火熱,不僅直接關係著企業的系統與資料安全,也是公司治理的競爭力根本,未來SGS將持續協助企業把關資訊安全,邁向永續經營。
