风险管理专家建议：资安应纳入董事会风险指标

第一银行爆发ATM盗领8,327万元事件后，多数损失金额都由警方协助找回，但是，对一银带来最大的损失其实是商誉损失以及客户信任。就银行治理上而言，第一银行一直以来都是模范生，是非常早期就已经取得包括ISO 27001和ISO 20000双认证的单位，加上金管会对于银行向来是高度控管，而且一银在ATM上，也一直都还是采用SNA封闭网络架构的银行，也难怪，爆发ATM盗领事件时，震惊社会及金融圈。

勤业众信辅导许多金融业者取得包括资安、IT和个资安全认证，该公司风险管理事业部执行副总吴佳翰表示，目前台湾企业的风险管理委员会并未纳入资安，加上许多资安与IT的风险很难量化，使得台湾企业资安和资讯治理层级，一直未能有效拉高。

ISO 27001和ISO 20000台湾常以资讯部门为主

台湾过去几年，金融业在主管机关的要求下，纷纷取得ISO 27001作为资安治理的基础，但是吴佳翰表示，这个资安认证主要是由资讯部门发起，再陆续往外拓展的认证，虽然许多银行陆续把海外分行的资讯系统，都拉回台湾总行一并管理，管理资讯部门的资安，可以解决大约8成的资安问题，但这样还是不够的。

他进一步指出，现在许多银行有许多新型态的数位金融服务，无法纳入既有ISO 27001控管范围；加上海外分行系统拉回台湾管理，在地的委外与法规遵循仍有一定需求时，在IT管理上很难出现零缺失；伴随着近年来经济不景气，银行缺乏资金与人力将资安范围，陆续扩大到资讯部门以外；以及许多海外分行与业务端的营运都已经先通过主管机关的同意，要为了资安需求作任何的流程修正，难上加难；都使得ISO 27001最终只能作为资讯部门资安管理的证明，无法拓展到全行的资安管理证明。

ISO 20000则是针对IT部门提供的IT服务管理水准作认证的标准，更是局限在资讯部门，吴佳翰便说，在ISO 20000认证范围中，资安往往不是核心服务之一，要把这样IT治理的观念借由认证推广到资讯部门以外，难度比ISO 27001资安推广更高。

董事会应该要具备IT专业，将资安纳入风险指标之一

不论是董事会或者是经营管理委员会，普遍在意的议题是市场营运和策略，即便在意公司营运的风险，层次仍以关心是否有企业舞弊等高层次的风险议题，像是IT或者是资安都仍是为作业层面的议题，往往很难在这样高层次的会议中被提及。

国外许多企业一旦发生严重的资安事件，公司董事长或总经理都需要下台负责，资讯长下台则是因为有明确疏失才会下台负责。但是，以7月18日一银董事长蔡庆年记者会上的惩处的说法，惩处的层级应该是从处长作为认罪的代罪羔羊，更上层的主管，看不出来有任何为此事负责之意。

吴佳翰表示，有许多公司基于董事会职能的提升，保障投资人权益和维护公司信誉，慢慢会在独立监察人的名单上，纳入具有IT专长的人，只不过，这样的风气之前并不盛，或许在一银事件后，对于许多企业的公司治理上，会有新的启发。

资安风险要从“不做，会对公司带来多少损失”着手

不管一银事件最后如何落幕，许多企业也可以从中学习一些经验教训。吴佳翰指出，企业应该开始思考，一定要提升资安治理的管理层级，资安不只是营运作业层面的事情，更应该与公司发展策略息息相关。他解释，风险管理委员会不管资安，因为资安不是经营作业要面对的风险，而是IT部门要管的事，但从一银的事件过后，许多企业的观念应该要调整，资安风险其实就是公司营运的风险。

因为要把资安纳入高层的管理指标之一，吴佳翰认为，许多量化管理的指标就应该更即时，他甚至建议，财报的部分除了实际营收的数据外，也应该要有一份非财务资讯的相关报表，而“哪些资安风险没有获得控管，将对公司带来多少损失，才是该份报表应该呈现的面向之一。”吴佳翰表示，最好的例子其实就是可口可乐，该公司的品牌形象，早就超过公司总资产的一半，这也是台湾企业在经营管理上，应该思考的角度。

若以一银为例，因为资安没做好，实际金钱损失少于八千万，但是，商誉的损失和客户信任感的损失，早就超过八千万之谱。

金管会要求银行建立资安演练机制，如何落实才是重点

一银事件后，金融主管机关则要求银行业应该要建立金融机构资安演练机制，像是资安防骇的演练，就应该要模拟资讯系统遭骇的情况为主，勤业众信资安科技暨鉴识分析中心则建议，应该要搭配数位证据的搜集与封存演练、模拟遭骇后系统证据的搜集、封存与初步分析过程等，作为提升金融机构资安人员面对骇客入侵的应变策略，以及如何具备基础的数位鉴识能力和协调沟通能力。

所有的资安应变都会分“事前准备”以及“事后应变与鉴识”两个阶段，勤业众信企业风险事业部经理陈威棋指出，事前准备阶段，建立资安事件通报的SOP与制定资安应变暨化，并做好定期的防骇演练，让企业员工把资安应变的作法内化成工作流程的一部分甚至是植入员工的DNA中，才能真正做到妥善的资安应变。

陈威棋表示，“建立应变组织”、“规划事件应变处理流程”和“规划定期资安事件与骇客攻防演练流程”是事前硬变得三大重点，有明确的资安权责单位后，一旦爆发资安事件，相关的人员才能依照权责做相关处理与决策。

至于事后资安应变与鉴识分析，陈威棋表示，这时候可能会面临诉讼阶段，所以，相关的数位证据保存都必须要做到可以确保相关的证据能力。他指出，这时候，企业必须要具备规划过的数位鉴识机制，包括：企业内部要有自己的资安应变与数位鉴识团队；所有资安事件的处理都依据“资安处理与数位鉴识作业程序”办理；最后，数位证据都必须在一个可以被信任的资安事件分析环境中进行，如果前者成本过高，也可以采用一些免费的资安事件与鉴识分析工具做备用。