公司為何要執行 ISMS資安管理系統 ?

重大資安事故頻傳，知名企業遭殃

(以大型企業之作為前車之鑑▼)

近年來國內外重大資安事件頻傳，一夜之間便可導致重大損失，思考如何持續提升資安成了企業的重要目標。

1. 2015年12月烏克蘭電力網路遭受到駭客以惡意軟體攻擊，導致伊萬諾福蘭克夫斯克州數十萬戶大停電
2. 2017年5月雷諾汽車於法國多個地區遭受到 WannaCry病毒攻擊，導致多個位於法國的生產基地被迫停產。
3. 2018年3月波音位於南卡羅萊納州的工廠遭受到勒索病毒襲擊。

IT 及 OT 之連結，資安風險提升

受到少子化影響，導致電子產業出現缺工狀況，再加上工資逐步上漲，讓電子業對智慧製造、自動化需求逐漸提高，藉此增加生產力並降低人工成本，為即時取得機台設備的運作數據以進行量測及零件提換預警，使得以往相對封閉的營運技術 (OT)環境之機台設備有了連網的需求。

工廠內的系統開始彼此相連，並連上企業網路，資訊技術 (IT)與營運技術 (OT)的融合，就如同「未來的犯罪」書中所述，雖然萬物連網確實帶來巨大的價值，但只要是資料傳輸協定都可能被駭入，這也代表著萬物都可駭，所有具有價值智慧財產或營業秘密都有遭竊資或外洩的可能，突顯資訊安全的重要性。

一. 為何要執行資安管理系統 ( ISMS )

ISO27001:2013內容包含了本文，及附錄的35項控制目標 (共114項控制措施)，是一相當具有依循價值的標準，若能導入ISO27001此一國際標準，將有助從法遵的合規性、技術及管理的有效性來對資訊安全作出整體的思考。

二. ISMS 執行重點參考

1. 資料盤點、資料等級分類、備份

(1) 資料分類並採取相對應控管措施

針對不同重要性等級的資料進行分類，找出企業營運的重要資料。例如個資、財務資料、客戶資料、營業秘密，進行風險分析 (risk analysis)等，並將之採取風險降低 (risk mitigation)、風險接受 (risk acceptance)、風險規避 (risk avoidance)或風險轉移 (risk transfer)，施加不同回應方式及控管程度的處理，可有助企業有效保護企業資料，且達到成本效益之優點。

(2) 資料備份

資料備份 (backup)可分為完整備份、增量備份、差異備份

• 完整備份 (Full backup)是將伺服器磁碟內全部的檔案資料進行備份的方式。
• 增量備份 (Incremental backup)僅備份上次完整備份或增量備份後有變動的部分檔案。
• 差異備份 (Differential backup)僅針對從上次完整備份後更動過的檔案進行備份。

備份因儲存位置可分為本地儲存 (Onsite storage)及異地儲存 (Offsite storage)兩種。本地儲存係指用資料中心所在地現場的儲存設備，而異地儲存則是將資料備份於和資料中心具有一定距離的地方進行備份，當發生不可避免的事故或災難而導致資料毀損，以異地儲存較具安全性，可避免原始資料與備份資料在同一事故或災難中同時受到波及，降低資料無法挽救回來的風險。

資料備份之效果可用復原點目標 (Recovery Point of Objective，RPO)進行衡量，其定義是指系統復原的時間點，例如是當機前的一小時亦或是當機前的一星期做為復原時間點，當復原點目標越接近當機的時間點即代表備份之頻率越高，成本也就越高。

(3)資料外洩防護

資料外洩防護 (Data Loss Prevention，DLP)系統會監控系統(工作站，伺服器、網路)的內容，確保關鍵資料不被移動或刪除，並可監控正在使用資料的人員為何，避免未經授權人員進行資料存取，並可監控資料的傳輸狀況。

綜上所述，企業應針對資料之保留 (retention)期間、儲存 (storage)位置、清除 (wiping)及處理 (disposing)方式皆應有完善政策 (policy)，以利資料控管，確保資料內容不至外洩。

2. 存取控制、身分驗證

由於人員可能流動，因此應定期審查存取權限，以確保其有效性。此外，存取權限之授予標準主要包含以下內容：必須知道 (need-to-know)、可歸責性 (accountability)、可追溯性 (traceability)、最小授權 (least privilege)、權責區隔 (Segregation of Duty，SOD)，僅給予職務執行上所必須知悉之內容，並設定明確的權責歸屬，針對各個職務內容考量法規、合約及內部要求，以利維護隱私權 (privacy)及機密性 (confidentiality)、完整性 (integrity)與可用性 (availability)等資訊安全要素。

3. 營業祕密保護

依營業秘密法第二條所述，本法所稱營業秘密，係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件者：

(1) 非一般涉及該類資訊之人所知者。

(2) 因其秘密性而具有實際或潛在之經濟價值者。

(3) 所有人已採取合理之保密措施者。

由於營業秘密標的須符合上述三要件，且對於營業秘密採取的保密措施須達「合理」程度，即使企業已執行資安管控，但法院卻有可能認定未達合理保密措施的法律要求。例如，企業部門雖有存取權限控管，但若不論職級，所有同仁皆有權限接觸某營業秘密，則代表存取權限管控未達合理、有效。

三、執行 ISMS 的效益

企業在面對聯網設備數量增加或委外業務增加，資安風險大幅提升的情況下，藉由導入 ISMS強化資安風險盤點、軟體安全發展生命週期 (Secure Software Development Life Cycle，SSDLC)、委外管理及資安事故處理等各控管面向的規劃與執行，有助降低面臨例如產線中毒、資料外洩及營運中斷等資安事件發生的可能性及衝擊，並提升客戶及關注方對企業穩健營運的信心。
-

更多資訊請參考：

領導力企管官網：http://www.isoleader.com.tw
資安相關資訊＆課程諮詢電話：   service@isoleader.com.tw / 0800-222007