Table of Contents
前篇提到了 AI 數位轉型將使資安挑戰日益嚴峻,企業需要一套完整的資安管理系統以應對不斷變化的資安威脅。因此,ISO 27001 認證成為了企業追求資安卓越的重要指標。在本文中,我們將介紹 ISO 27001 認證,它如何幫助企業有效降低資安風險,最後也替你整理臺灣上市櫃企業取證現況,幫助你暸解企業資安防護品質。
資料是一家企業極其重要的資產,隨著資料陸續上雲,究竟如何保障這些資訊安全呢?在資訊安全準則中,解釋了資訊安全三項要素 C. I. A:
資訊不得被未經授權之個人、實體或程序所取得或揭露的性質。
對資訊之精確與完整安全保證的性質。
已授權實體在需要時可存取與使用資訊之性質。
滿足資安核心三要素即是企業達成資訊安全的核心目標,但投資者如何得知企業是否確實達成呢?這時就需要公正的第三方標準來檢驗,目前國際上最流行的資安標準為 ISO 27001,開始介紹前,先讓我們瞭解其架構:PDCA 循環法則。
計畫 ( Plan ):制定目標以管理資安風險,並制定相關政策和控制措施改進資安系統。
執行 ( Do ):執行規劃好的政策與控制措施。
查核 ( Check ):檢視實際執行與目標的差異。
行動 ( Act ):針對查核到的差異做出改變行動,進一步改善。
企業能利用此循環不斷的審查與優化資安管理系統,將資訊安全風險降至可接受的範圍,保護資訊的 C. I. A. 要素。
接下來,讓我們正式介紹國際通用的資安證書:ISO 27001。
ISO 27001是一種資訊安全管理系統標準,旨在協助企業識別、管理和減少其所面臨的各種資訊風險。標準最初是由國際標準化組織(ISO)和國際電工委員會(IEC)於 2005 年共同發佈的,並於 2013 年和 2022 年進行更新,內容主要涵蓋了企業要實施國際認可的資訊安全體系所需的標準和規範。
通過且獲得ISO 27001認證,企業即可證明其機房設備已通過嚴格的國際檢驗。重點是,認證後企業每年都需進行複評。因此,ISO 27001 是投資人、國際企業和政府等對於資訊安全保護等級的重要參考指標之一,擁有極高的公信力。
上述提及的標準及規範兩部分即是主條款與附錄 A,主條款(標準)強調應決定可接受的資安風險並以此建立完整的管理週期,附錄 A(規範) 則是提供 93項控制措施,對組織、技術、實體與人員四面向進行詳細的風險控制規範。
其中,ISO 27001 只是「一套概念」,主要說明了公司在導入這套標準時應該要管制的範圍,並沒有說明其應該如何實施,而 ISO 27002 則是「一套指南」,說明了附錄 A 控制項具體應該如何實踐,注意這些條文並不是強制性,公司可依自身需求決定是否採用。
但取得 ISO 27001 就代表能有效防範資安風險嗎?在揭曉之前,我們先帶你了解取得認證的 4 點好處:
回到實際情況,過去三年發生的資安事件中,有 50% 的企業未取得 ISO 27001 認證,雖比例上無顯著關係,但如果觀察這些資安事件,未取證的企業在後續多承受較大的營運損失,包含前篇文章提及的雄獅與華航,因此,ISO 27001 確實能降低危機爆發的損害。
TEJ 整理了臺灣上市櫃企業 2023 年的 ISO 27001 取證情形,如下圖所示,金融業是最積極取得 ISO 27001 認證的產業,共取得 27 張,取證率達 79%;另外,臺灣引以為傲的半導體與電子代工產業,總取證張數並不低,但以取證率來說仍為不足,半導體與電子零組件產業分別僅有 9% 和 7%。
過去十年隨著金融科技發展,駭客攻擊事件與資安問題日益嚴重,但在主管機關與各企業的努力下,金融業不僅以近 8 成的取證率領先其他產業,也制定了「金融資安行動方案」進一步地強化其資安治理。同樣的挑戰現在來到了製造業,根據 Dragos 2022 工控報告,製造業在去年共遭受 437 次勒索軟體攻擊,在工業物聯網成形、工廠自動化的浪潮下,臺灣製造業能否做好資安防護呢?
即便無法預測危機,我們仍可透過追蹤 ISO 27001 取證情況來判斷企業是否為資安危機做好準備!
—
台灣財經資料庫 (TEJ TAIWAN DB ) → TESG 永續發展解決方案 → TESG 永續資料集 → 社會構面 → 社會類_ ISO認證透過 TESG 永續資料集,第一時間關注企業 ISO 取證情形,有效把關並監控企業是否確實做好資安防護。
如果各位讀者對於本文、TEJ 資料庫有任何問題,或是想進一步獲取關於 TEJ 資料庫的操作權限,歡迎留言、來電或來信詢問。
電子報訂閱