「企業該如何兼顧資安治理與營運持續?」在外部環境變動加劇的今日,資安風險已不再僅僅是IT部門的技術問題,而是攸關企業存續與競爭力的營運風險。
根據World Economic Forum《The Global Risks Report 2025》,其中在科技風險部份將「不安全的網路世界(Cyber espionage and warfare)」與「錯誤資訊與假訊息(Misinformation and disinformation)」被列為短期內的重大威脅。
另外在ISACA《State of Cybersecurity 2025》的調查顯示,有43%的組織認為極可能組面臨威脅攻擊,包含社交工程(Social engineering)、被利用的漏洞(Exploited vulnerabilities)、惡意軟體(Malware)等。
觀察台灣,根據相關調查顯示企業面臨的前三大挑戰為網路釣魚、漏洞濫用與勒索軟體,綜合上述資料,顯見台灣企業所面臨的資安風險特徵與全球高度接軌,無論是威脅型態或攻擊頻率均呈現同步增長的趨勢。
從「靜態合規」轉向「動態韌性」的持續管理
資安合規已成為進入國際供應鏈、建立合作信任的基礎門檻,根據ISO Survey資料顯示(統計至2024),全球有效ISO 27001資訊安全管理系統的驗證證書已核發超過7萬張,而在台灣通過驗證的單位數更超過2,000家以上。這數據顯示「資安治理已邁入標準化時代」。
然而,隨著資安威脅風險日益嚴峻,從營業機密外洩引發的競爭力流失、客戶個資外洩導致的品牌信任危機,到勒索軟體與第三方威脅造成的營運中斷等事件發生。企業單靠技術設備的採購建置縱深防禦的作法,已不足面對多變的威脅型態,資安治理思維必須從傳統的「合規導向」轉向「韌性導向」,從靜態的防禦思維,進化為動態、持續的風險管理。
第三方風險管理(TPRM)成為供應鏈安全重要議題
因應資訊服務型態轉變,企業營運高度依賴外包與雲端服務,駭客的攻擊路徑也隨之轉移。根據國際資安風險評等領導品牌SecurityScorecard報告指出,41.4%的勒索軟體攻擊是駭客利用「第三方弱點漏洞」作為入口滲透組織。面對第三方風險的回應,僅有26%企業具備供應鏈事件的應變能力。
第三方風險管理企業因應現況
然而,落實供應鏈管理存在諸多挑戰,從CISO Insight(2025)調查,包括供應商規模不一難以適用統一標準(33%)、難以確認供應商是否確實遵守要求(20%),以及上下游廠商間資安要求標準不一(15%)。目前多數企業仍停留在透過合約條款約束、資安問卷自我評估進行資安或網路相關基本盡責調查。
從法遵合規驅動可持續驗證的資安韌性
觀察公務部門遵循《資通安全管理法》要求,已需要對資通設備進行持續監控與內外部風險評估;金融產業則有「金融資安行動方案2.0/3.0」要求外部攻擊面監測。在科技製造業,半導體產線設備資安標準規範(SEMI E187)明確定義要求進行資安風險評鑑。而在ISO/IEC 27001:2022新版標準已納入更多動態管理的要求,例如威脅情報(A.5.7)、防範資料外洩(A.8.12),以及對雲端服務資安(A.5.23)與營運持續準備(A.5.30)的重視。這要求企業必須具備「外曝風險盤點」與「主動感知預警」的能力,面對合規要求,建議企業可從以下三個面向著手
1.建立外曝風險管理:有別於傳統的週期性弱點掃描或滲透測試,企業應導入如EASM等資安風險檢測服務。透過非侵入式的全域探測,模擬駭客視角識別公開在網際網路上的風險(如不安全的SSL憑證、DNS配置錯誤)或敏感資料外洩(如程式碼/憑證/個資/Key)並取得量化的風險分數,以達成持續性的監控與即時回應。
2.建立有效防護機制:郵件與檔案交換是企業最頻繁的溝通途徑,建議應結合郵件安全防護、防資料外洩、檔案稽核與郵件歸檔機制,落實資料洩露預防要求。例如,透過BEC郵件詐騙防護政策與APT附檔偵測技術,降低社交工程風險;並透過完整的通訊紀錄歸檔,確保合規調閱與事後稽核。
3.建立營運持續計畫:企業除了落實關鍵業務的通訊準備與災難復原外,在資料與服務備援策略上,從風險控制轉移,亦可評估將雲端服務納入風險控制措施。透過『雲地整合』的混和架構,能有效提升營運韌性並保持服務彈性。
ISO27001:2022強化資安要求
資安治理的核心目標在於確保營運的可持續性。組織應具備與威脅共存的思維,透過管理制度與技術工具的深度結合,致力於縮短從「風險識別」到「有效回應」的時間差。藉由將實務流程納入PDCA持續改善循環,企業方能從容應對韌性挑戰,使資安治理轉化為核心競爭力。
<本文作者:張世鋒現為網擎資訊永續治理專案辦公室資深協理>