CTI論壇（ctiforum）3月30日消息（記者 李文杰）：臺灣許多政府部門的A級單位都必須取得一張國際資安認證ISO 27001，不論是2005年版的11個資安控管領域、133項控制措施，或者是2013年改版后的14個資安控管領域（新增加密及供應鏈關系管理）、113個控制措施，這些單位都通過ISO 27001一套完善的P（規(guī)劃）D（執(zhí)行）C（稽核）A（矯正）流程，不僅提高組織法規(guī)遵循的能力，徹底的落實也有助于減少資安事件、提升IT效能和組織競爭力。

　　現(xiàn)任臺灣BSI標準驗證公司總經(jīng)理蒲樹盛，是資安及稽核業(yè)界領導風險管理的資深專家，對于ISO 27001在臺灣普及化的過程，更是重要推手之一，而他也將于4月初，在iThome舉辦的臺灣資訊安全大會中擔任講者。

　　蒲樹盛專長個資管理、資安管理、營運持續(xù)管理、業(yè)務流程管理和質量管理等領域，并長期擔任政府和企業(yè)教育訓練講師與諮詢顧問，他認為，當有8成以上企業(yè)都擔心面對網(wǎng)絡攻擊和IT服務中斷的風險時，若能夠參考適當?shù)膰�際標準并落實在組織的流程環(huán)節(jié)中，都有助于強化企業(yè)防御能力和競爭力。以下為書面采訪內容：

　　企業(yè)若要做到持續(xù)營運，面臨哪些重要的風險呢？

　　綜合世界經(jīng)濟論壇（WEF）2015 Global Risk Report及英國標準協(xié)會（BSI）與英國營運持續(xù)學會（BCI）最新的2015研究報告的結果，全球企業(yè)近年來都共同面臨3個重要的企業(yè)風險，包括網(wǎng)絡攻擊（Cyber Attack）、無完善計劃的IT及通訊中斷（Unplanned IT and Telecom Outages）和資料外泄（Data Breach）。

　　若以英國營運持續(xù)組織一年一度、針對全球760個企業(yè)于組織做的地平線掃瞄報告（BCI Horizon Scan）為例，準備方面進行評估，發(fā)現(xiàn)超過8成（82％）的營運持續(xù)專業(yè)管理人都對網(wǎng)絡攻擊事件心懷恐懼，也有8成（81％）擔心缺乏完善計劃的IT及通訊中斷；也有75％擔心如索尼影業(yè)（Sony Pictures）在2014年發(fā)生的資料外泄事件。

　　另外，根據(jù)「2014 Ponemon 網(wǎng)絡犯罪的代價」報告更指出，平均全球每家公司花在防范網(wǎng)絡犯罪上的年度成本為760萬美金，且每年以超過1成（10.4％）的成長率持續(xù)增加。

　　對企業(yè)而言，又該如何克服持續(xù)營運所面臨的風險？

　　組織面對上述企業(yè)常見風險時，千萬不能心存僥幸或過度自信，除了要確實意識到這些威脅外，利用營運沖擊分析（Business Impact Analysis，BIA）的手法鑒別出哪些事組織中的關鍵系統(tǒng)及關鍵業(yè)務流程，也必須正確定義最大可容忍中斷時間，整備預防中斷及緊急應變所需資源，建立營運持續(xù)計劃（BCP）程序，落實演練，防患于未然。

　　以高科技制造業(yè)為主的臺灣產(chǎn)業(yè)，持續(xù)營運思維如何落實相關在供應鏈管理呢？

　　從食安、工安及國際客戶的要求趨勢來看，供應鏈管理已是企業(yè)必須認真面對的課題。臺灣企業(yè)若要開始建立供應鏈管理制度，可以從下面3個步驟進行。

　　首先，必須了解客戶及法令要求，例如，電子業(yè)有EICC要求，國際知名品牌客戶（蘋果Apple、耐吉Nike及沃爾瑪Walmart等），都有各自不同的特定規(guī)范。

　　其次，要鑒別企業(yè)目前符合客戶和法令的狀況為何，除了可以采行自我評估外，也可以委托專業(yè)第三方機構進行差異分析，確實了解目前的不符合及弱點狀況，尋求改善機會。

　　最后，必須通過建立制度以提升競爭力，避免頭痛醫(yī)頭的單點改善模式，建立可長可久的管理制度，就可以參考采用ISO國際通用標準，并運用PDCA流程，建立所需要的制度。

　　既有的資安、風險或是持續(xù)營運相關等國際標準，對組織又有何幫助呢？

　　國際標準制定了產(chǎn)品或服務對環(huán)境、安全或健康等層面的最低需求，而且通過這樣的國際標準，可以在全世界范圍內統(tǒng)一使用。

　　因此，對組織而言，不論是資安、風險或者是持續(xù)營運相關的國際標準，首先強調的都是組織管理團隊的正確認知，管理階層具備好的領導力（Leadership），就可以從策略面、管理面及技術面進行思考及整備；再者，因為組織資源有限，組織必須有策略的分派任務以免浪費資源，就必須先做到鑒別組織內風險優(yōu)先順序。

　　第三，國際標準要能夠落實，所有人員必須善盡本分、遵守規(guī)定，當責（Accountability）很重要，否則就會形成資安漏洞。最后，科技日新月異，風險與科技進步總是伴隨發(fā)生，唯有時時掌握新知，持續(xù)關切科技風險，才能夠及時對應、尋求相對安全能力。

　　2015年最嚴重的資安威脅為何？

　　科技的進步帶來風險的增加，無疑地，IOT、BYOD、Cloud Computing及Big Data等應用，將是未來資安最大挑戰(zhàn)且包羅萬象。

　　和其他國家對于資安防御的能力，臺灣的評分為何？

　　以國家投入資源及成效綜觀，在資源嚴重不足，只能憑借相關單位及供應商慘澹經(jīng)營，我國的資安防御屬于中上程度，實屬不易。

　　但反觀美國政府在2015年政府預算項目中，光是網(wǎng)絡安全（Cyber Security）這個項目中，政府投資就已經(jīng)超過160億美金，創(chuàng)下空前紀錄，但臺灣的資訊及資安預算，仍相對落后于美、中、日、韓等國。真的要落實資安防護，政府如何在既有的資源調度上，能夠落實資安防護的提升，是政府的一大考驗。