2023 CIO 大調查解析座談會 會後報導
由於在歐洲有營運據點,早在2018年合勤即因應歐盟的 GDPR,投入資安與隱私等相關工作,確保客戶個資整個生命週期過程中,都能符合當地法規的要求。整體而言,絕對比多數台灣企業更好、更全面,堪為其他企業作為借鏡。以下是合勤投資控股資安長游政卿分享內容的重點。
文/林裕洋
從 CIO IT 經理人公布的 2023 CIO 大調查報告中,看到受訪企業的年度重點投資項目,有 21% 網路與網路安全、20.9% 資安與隱私時,感受到台灣企業資安意識明顯比過去提升不少。談到資安議題時,很多員工會認為資安單位故意把使用網路過程變得複雜,且是透過天馬行空方式設計各種資安規範,增加工作上的難度與挑戰,所以基本上的配合意願並不高。
為有效落實資安政策,合勤選擇先從找到利害關係者著手,例如與營運、研發相關的部分,確認對外代表公司形象的人選,在進一步詢問資安的要求與想法後,再著手制定相關政策。簡單來說,先得讓利害相關人知道資安的重要性後,再進一步確認希望藉由資安協助達到目標,如此一來相關政策自然能獲得高階主管背書與支持,自然有助於相關規範的推動,且阻力會大大減少。
[ 推薦閱讀:2023 製造業 IT 投資重點 ]
合勤的資安政策大致上可以分成七類,第一部分是與法律、法規相關,這部分是絕對不可跨越的紅線,沒有任何例外。第二部分是避免發生導致系統故障、影響到生產力的部分,確保公司流程能夠正常營運。第三部分則是要保護客戶與員工的個資,全力避免發生個資外洩的憾事。第四部分,則是在資安詐騙大行其道下,要避免發生個人或商務的詐騙事件發生。第五部分則是要保護公司的商業機密,所以著重在商業活動、研發的保護工作。第六部分、第七部分則分別是針對企業形象、業務競爭力相關。
由於合勤在歐洲有營運據點,所以早在 2018 年就因應 GDPR 的要求,投入資安與隱私等相關工作,確保客戶個資在收集、處理、利用、保存與刪除等環節,都能符合當地法規的要求。歐盟非常重視個人的隱私,所以 GDPR 處罰比台灣個資法嚴格非常多,若企業不小心違反相關規定,可能要支付全球 4% 營業或者 2,000 萬歐元。合勤在資安與隱私等環節,絕對有信心做得比多數台灣企業更好、更全面。
台灣製造業比重非常高,要找出利害關係者很容易,例如工廠非常注重整個產線的嫁動率,加上很多生產設備不能安裝修補程式,所以資安人員在設計相關資安機制時,應該要從前述兩大部分著手。例如在 IT 部分將資安做好,同時強化在 IT 與 OT 交界的資安管理環節,就可減少 OT 環境的資安風險,確保產線能夠正常運作。
最後,在建構資安防護網的過程中,也可從外面攻擊構面來看有哪些改進之處,建議不妨引進 EASM(External Attack Surface Management)工具進行評估。
[ 到CIO大調查專網首頁看更多文章 ]
(本文授權非營利轉載,請註明出處:CIO Taiwan)