日前遠東銀行遭駭客入侵,並匯走 6000 萬美元,雖然後來追回大部分款項,不過,台灣金融業資訊安全問題再度引發各界關注。資誠企管顧問公司執行董事張晉瑞認為,資安不只是資訊單位(IT)的事情,而是要依據企業整體營運策略方向,從組織面、流程面及技術面三管齊下。

我是廣告 請繼續往下閱讀
首先,在組織面。張晉瑞認為,資訊安全要做好,涉及所有內部人員、合作夥伴人員,以及公司內部、分(子)公司、外部合作廠商、公開場所等不同環境,換言之,資安不再只是資訊部門的責任,而是所有關聯方都參與其中。

由於金管會今年也要求保險業與銀行業應於董事會報告資安目標與整體執行情形,讓公司治理層級了解資訊安全防護作業的狀況,金融業也可以考量成立專職專責的資安單位,統籌內外各單位的資安需求與規畫,這都是組織面可以調整的資安策略。

其次,在流程面。張晉瑞說,所有內部工作流程,都應該考量資訊安全的衝擊,以及合作夥伴及上下游供應鏈之間作業流程的交互影響;金融業可以考量優先在新系統開發時採用「始於安全的設計」(Security by Design)的方法,也是目前歐盟一般資料保護法規 (EU GDPR) 的核心要求。

張晉瑞進一步指出,可在整個工作流程管理程序提供內建的安全控制,例如權限核准、日誌、信任關係、強制加密、法令合規等等,而不再僅倚賴事後追溯性的資訊安全稽核作業。

第三,在技術面。張晉瑞表示,這是傳統上公司主要的資安投資項目,一般包括資安設備與服務的採購、部署策略及總體安全政策的擬定、員工資安意識與安全人員能力的強化、內控與稽核的全面落實,乃至於採購決策分析機制的建立等,都是資訊安全的投資項目。

張晉瑞強調,科技及駭客技術不斷演進,資安是永遠做不完的專案,企業應以資源管理的角度,設定保護標的及資安資源的優先順序。他認為,資訊安全要做好,除了一般認知上購買先進的資安軟硬體設備外,也包括了專業人才的招攬、能力的培育、意識的宣導、制度的建立與組織的調整,這些不同的面向都要投入資源,因此,辨識企業所面臨的風險,擬定風險為導向的資訊安全策略建置符合 ROI 的風險管理策略實為首要。