資訊安全、網路安全與隱私保護的多重聯防,強化企業數位轉型與營運治理策略

潘世鳴

BSI英國標準協會

台灣資通安全客製化查核/NIST CSF網路安全框架/金融合規產品經理

潘世鳴

全球睽違已久的 ISO/IEC 27001:2022資訊安全、網路安全與隱私保護-資訊安全管理系統(ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems),預計於2022年10月發布,此次改版代表全球企業在資訊安全的努力成果中翻了新頁,也闡明全球企業未來將持續朝向資通安全治理與成熟度的方向更上一層樓。

資訊安全的觀念與風險管控措施,經過十多年的發展早已深植在許多企業內部資訊系統控管與作業流程中,並與其文化融合成為企業營運發展中不可或缺的DNA,也成為企業成長與業務拓展的重要關鍵因素。因此,資訊安全不再是資訊部門或資通安全部門應負責的工作,而是企業永續發展的重要基石。

因此,新版標準針對資訊部門、資通安全部門,及法規遵循與隱私保護部門,在企業不斷面臨日趨嚴重的網路安全威脅下,對其關鍵角色做更明確分工與定位,期望藉由各自專業知識與執行力,達成多重聯防之團隊力量,有效協助最高管理階層在企業數位轉型、網路安全韌性、法規遵循、隱私保護與公司治理間之營運策略更加完善。

 

資訊部門持續肩負數位轉型過程的資訊安全重要推手

數位轉型

企業為能在競爭激烈的商業市場上,持續穩定獲利與發展,資訊部門積極推動數位轉型與資料治理,期望可藉由有效分析全球各地商業市場的數據,以便整合各項發展策略進行商業市場佈局,此時若擁有良好的數據風險安全管控機制,將會讓企業贏得客戶與合作夥伴的信任,創造企業長期價值與形象。

新版標準裡,除保留原有資訊基礎設施之相關安全控制措施外,另考量企業因Covid-19疫情關係,而延伸之雲端服務與遠距工作,已為全球企業不可或缺的基礎服務,故新增「使用雲服務的資訊安全」與「為業務連續性做好資訊通信技術準備」等控制措施,以利資訊部門可進行相關安全規範。其次,為能使資訊運用與資料治理時更為便捷與安全,亦新增資訊刪除、資料遮罩、資料洩露等控制措施,讓資訊部門可依照企業推動數位轉型與資料治理等發展策略納入新控制措施,並針對商業機密、產品設計等數據風險進行管理。

 

 

資通安全部門將獨立出來成為企業網路安全的捍衛者


網路威脅情報在過去十幾年,網路安全(Cyber Security)的概念一直隱藏在資訊安全標準裡,但隨著駭客技術精進,導致企業營運獲利削弱或迅速破壞來之不易的聲譽。實務上,企業網路安全偵測與防駭技術,早已成為一門專業的領域,需要一群熟知駭客攻擊技術、網路安全、系統安全,以及擅於進行威脅情資與分析等人員,規劃與執行進階的網路安全防禦措施。

企業防護駭客攻擊的過程中,網路安全威脅情報(Cyber Threat Intelligence)的重要性不斷提升,在企業制定資安管理政策與防護技術策略上扮演重要的角色。因此,新版標準新增「威脅情報」控制措施,並提供NIST Cyber Security Framework的網路安全概念,可讓企業將識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover),與公司策略發展目標、關鍵營運流程及相關安控措施,進行跨部門整合,全面性實施風險減緩措施。資通安全部門應以全局視角,看待企業在供應鏈之角色與定位、針對網路威脅與來源,找出可能發生的財務影響或股東價值損失等防禦策略,提供最高管理階層與董事會成員做出最佳商業決策。

 

隱私保護部門承擔數位轉型過程中法規遵循的關鍵把關者

企業除對於資訊治理與網路安全議題的關注度日漸增加外,更需重視與因應各國不同的法律規範,例如:個人資訊保護、相關授權使用的隱私管理、一般資料保護規範(GDPR)等。因此,現今的隱私保護部門的職責將涵蓋所有與隱私相關的業務,例如:內部活動、對外服務及產品,並且須依照各國不同的法律規範,制定資料安全、使用管理政策與工作流程,在新版標準,隱私保護議題已被融入在各控制措施內,例如:資訊傳遞、法律/法規/監管/合約要求、個人隱私與保護、存取控制、聘僱條款與條件、資訊安全意識/教育培訓、保密或不被揭露的協議、用戶終端設備、防止資料洩漏、事件日誌、應用程式安全要求等,幾乎涵蓋新版標準四大構面。企業數位轉型過程中,隱私保護部門也需熟悉資訊治理與網路安全等議題,以便遭遇相關議題時,可用科技與法律不同面向之見解,提供專業的建議,協助最高管理階層做出有利的營運決策,避免企業因侵犯個人隱私而觸法。

 

強化企業數位轉型與網路安全營運策略

現今的數位轉型從接觸客戶開始,到公司整體資源規劃及智慧供應鏈之生產出貨,網路可用性之要求無所不在。企業在越來越嚴峻的網路安全威脅下,由各部門單打獨鬥的時代已經結束。企業可藉由本次標準改版,重新檢視與調整資訊安全、網路安全與隱私保護的分工,並重新調整放入企業資訊安全管理系統中,若此三個關鍵部門能攜手合作,將可促使企業關鍵營運活動與商業機敏資料可以受到全面性的保護。

另一方面,具有企業決策權之董事會成員,已開始以他們能夠理解的方式評估網路安全所帶來之企業營運風險,相信假以時日就能夠將網路安全威脅與他們日常在處理的企業風險進行比較,如同分析網路安全風險與掌握資產負債表的健康狀況一樣熟悉,未來將可作出最明確的投資與授權,強化企業網路安全韌性。