企業資安成熟度:數位韌性與持續營運關鍵

隨著資通訊多元技術的發展,企業不斷受到持續演進的各種資安威脅,企業內的資安單位,已從支援角色轉變為重要策略單位,這樣的趨勢帶動了企業擬定資安管理成熟度的評估機制,來保障資安事件中企業的營運持續性。

而資安管理成熟度評估框架,目前大多以美國國家標準技術研究所(NIST)提出的網路安全框架(Cybersecurity Framework,CSF)為主要架構,CSF 參考了世界上 6 項具指標性的資安標準,包括全球最熱門的資訊安全架構 ISO/IEC 27001:2013、美國聯邦資訊系統安全性和隱私權的規範標準 NIST SP 800–53 Rev. 4、工控標準 ISA 62443–3–3:2013 …等。

在 2017 年 5 月,由 NIST 提出的 CSF 網路安全框架,在時任美國總統川普簽署的行政命令中,即強制要求美國 190 個聯邦機構,全面依循 CSF 網路安全框架。此框架原是美國政府為改善關鍵基礎設施資安防護的需求而產生,而後亦受到全球多國組織與企業的認可,不只是影響多國在關鍵基礎建設的網路安全法規面,同時也成為企業強化自身資訊、網路環境安全等,相當值得參考的指標。

 

步驟助企業提升資安成熟度

CSF 與其他資安標準不一樣的地方在於,強調先篩選出符合組織所需的資安控制措施,再將組織間的資安風險進行排序,優先處理較為嚴重的資安漏洞。CSF 提出的 7 個步驟,協助組織進行資安風險評鑑,並依照框架來判斷資安成熟度,建置完整的管理週期,逐步的提升企業整體資安成熟度。

 

Step 1 確定優先級和範圍
Step 2 
確認組織目標與方向
Step 3 
描述當前資安狀況
Step 4  
進行風險評估
Step 5  
描述目標資安狀況
Step 6  
確定、分析差距並確定其優先級
Step 7  
實施行動計劃

 

大面向建立風險管理週期

CSF 網路安全框架從五大面向,包括辨識、防護、偵測、應變到復原,評估自身防護程度與能力;108 項子類別控制措施,依據資安需求選出合適的控制項目,檢視組織的資安成熟度。其核心精神,即是一個為企業建立能夠持續運作的成熟度評估框架。

  • 識別 ( Identify )建立組織規則以管理系統、人員、資產、資料和功能的網路安全風險。
  • 保護 ( Protect )建立和實施適當的安全措施以確保重要服務的運行。
  • 偵測 ( Detect )制定並實施適當的作為以識別網路安全事件的發生。
  • 回應 ( Respond )對偵測到的網路安全事件,規劃並實施適當的行動。
  • 復原 ( Recover )制定並實施適當的措施以修復因網路安全事件受損的功能和服務。

 

資安成熟度開始在臺灣產業間發

過去企業組織推動落實資安,導入資訊安全管理制度已是常見的作法,但隨著資通訊科技發展,及資安威脅趨勢變化,除了內部資通安全稽核、相關資安演練,資安成熟度自評也開始成為組織重要的概念。

資安成熟度的觀念已經在臺灣慢慢成形,甚至變成 2021 年的焦點。我國政府為落實資安,早已在 2014 年開始推動這樣的概念,國家資通安全發展計畫持續輔導政府機關,導入資安治理成熟度評估模式,近期國內已有政策欲將此一概念,推動到國內各產業,尤其是製造業與金融業。許多資安業者也紛紛提出資安成熟度評估機制,提供企業客戶或供應商作為評估自己資安成熟度的參考。

2020 年 9 月,經濟部工業局旗下工研院打造的資安整合服務平臺 SecPaas,推出「資安成熟度評級服務」。同時,金管會在 2020 年 8 月提出的金融資安行動方案,新增措施中也包括要研議訂定金融機構資安治理成熟度評估方法,並鼓勵金融機構辦理。

除了政府機關與大型企業,對於國內普遍的中小企業而言,資安成熟度的概念同樣能帶來幫助,讓企業能自評現況並設定目標,加速提升企業資安有方向地持續精進。

隨著科技快速發展,產業已從數位化邁向智慧化階段,在面對大幅增加的營運資安風險時,資安管理的「有效性」應為最重要的考量,透過導入資安成熟度並依據企業所面臨的需求與風險,量化資安弱點,隨時動態調整資安政策及規範,才能強化企業檔案安全防禦的數位韌性,及面對威脅的應變力。

 

2021《產業創新條例》投資抵減項目增設資安產品及服務

《產業創新條例》為經濟部於 99 年 5 月公布施行,發展至今對促進國內產業創新,提升產業競爭力已有一定成效。為了掌握後疫情時代智慧轉型趨勢,並提升國家與各產業整體資安防護能力,今(110)年 11 月 25 日,行政院拍板定案修正條例,將智慧機械以及 5G 系統投資抵減優惠適用期限延長至 2024 年底,並將資安項目納入優惠項目,希望藉由短期租稅獎勵加速各產業導入資安防護工具,以確保我國產業在國際供應鏈上取得客戶信賴,能因應國際日益嚴重之資安攻擊與威脅,並達到國內資安聯防體系之效果,且亦有助於資安供給端投入創新研發,增加資安廠商在台試煉機會,發展國內資安自主能量,進一步進軍全球市場。

本次修法新增資安產品或服務納入投資抵減,於 2022 年至 2023 年同一年度合併計算智慧機械 5G 系統投資金額達 100 萬元以上、10 億元以內,得適用抵減營利事業所得稅額;當年抵減完畢,抵減率為 5%、三年內分次抵減,抵減率為 3%,不逾應納營所稅額 30% 為限。

如上列項目合併投資金額達一百萬,當年可抵減五萬營利事業所得稅額。

新增投資抵減項目如附圖供參考:(來源:經濟部「產業創新條例第十條之一修正法案」)

企業資安成熟度:數位韌性與持續營運關鍵