智慧應用 影音

依國際標準制定OT管理架構 逐步落實永續資安治理

2022/01/20 - DIGITIMES企劃

根據PwC在2021年的台灣企業領袖調查,顯示在疫情洗禮下,企業的風險管理意識抬頭,多已重新評估自身的風險承受力,亦將資安列為風險的一環。資誠智能風險管理諮詢公司執行董事張晉瑞表示,因此如何促使企業資安治理持續進化,已成為重要命題。

張晉瑞以台灣半導體業的實例,闡釋企業資安治理的進化旅程。他指出,2021年道瓊永續指數(DJSI)問卷深入強化的重點,包含資安治理層級、事件通報機制,及資安管理體系的持續營運計畫與外部驗證;意謂企業需關注的面向增多,且越來越深入內部治理實作,讓企業疲於追逐,故一家半導體領域的領導業者,不欲陷入每年被動解題的輪迴,著手主動設計資安發展戰略,規劃未來3~10年資安藍圖。

該半導體業者考量旗下各廠區資安能力不一,於是運用統一標準進行成熟度評估,將它們區分為不同的成熟度團體,訂定不同成長目標,而非齊頭式的目標,形同為各廠區提供持續性改進的架構圖,一步一步邁向資安成熟。

另不可諱言,供應鏈資安也是影響企業資安治理成效的一大關鍵。張晉瑞說,以往受到關注的供應鏈管理思維,通常涵蓋組織、業務計畫、產品生命週期、採購、後勤、倉儲、客服等元素,並未包括資安;甚至根據PwC 2013年的調查,僅2%認為資安在供應鏈中是重要風險。但8年後的今天,隨著駭客團體的步步進逼,迫使許多企業轉變思維,開始認定資安是攸關生產與營運永續的要素。

但光是自己做好資安並不夠,只因製造廠有原物料、零組件、生產設備、監控管理設備、環安管理設備、行政支援設備、其他營運服務等供應商,且這些供應商還有各自的供應商,上下游連在一起,導致大家的資安曝險機率比想像中巨大。

供應鏈又長又雜,別人要怎麼做,才不致淪為駭客攻擊標的、進而影響到我?必須從自身強化推進到供應商安全強化。張晉瑞提醒,所謂強化並非閉門造車,應參考國際標準,才能讓整個供應鏈夥擁有共同語言、一起前進,避免出現多頭馬。

他建議企業優先以IEC 62443-2-1架構,做為強化自身安全管理的依據,帶動資產管理、弱點管理、權限管理、資料保護、事件管理、資安治理全面成熟。接著依據IEC 62443-2-4,運用其中12項功能模組,建立供應商安全管理架構。

總括來說,現今仍有不少工業企業,存在重IT、輕OT、缺資安治理等典型現狀,忽略資安治理及營運科技對於製造業永續的重要性,易使OT如同單槍匹馬衝進駭客大軍;唯今之計,企業應儘速援引個個科技安全管理架構,做為現況分析的工具、策略擬定的羅盤,達到資安治理、IT安全、OT安全之均衡發展。


圖說:資誠智能風險管理諮詢公司執行董事張晉瑞。DIGITIMES