資誠:金融業資訊安全 需三管齊下

2017-11-06

 

近來,金融業資訊安全的議題受到各界關注,資誠企管顧問公司執行董事張晉瑞表示,資安不只是資訊單位(IT)的事情,而是要依據企業整體營運策略方向,從組織面、流程面及技術面三管齊下:

首先,在組織面。資訊安全要做好,涉及所有內部人員、合作夥伴人員,以及公司內部、分(子)公司、外部合作廠商、公開場所等不同環境,換言之,資安不再只是資訊部門的責任,而是所有關聯方都參與其中;金管會於今年也要求保險業與銀行業應於董事會報告資安目標與整體執行情形,讓公司治理層級了解資訊安全防護作業之狀況。金融業也可以考量成立專職專責的資安單位,統籌內外各單位的資安需求與規劃,這都是組織面可以調整的資安策略。

其次,在流程面。所有內部工作流程,都應該考量資訊安全的衝擊,以及合作夥伴及上下游供應鏈之間作業流程的交互影響;金融業可以考量優先在新系統開發時採用「始於安全的設計」(Security by Design, SbD)的方法,在整個工作流程管理程序提供內建的安全控制,例如:權限核准、日誌、信任關係、強制加密、法令合規等等,而不再僅倚賴事後追溯性的資訊安全稽核作業。「始於安全的設計」也是目前歐盟一般資料保護法規 (EU GDPR) 的核心要求。

第三,在技術面。這是傳統上公司主要的資安投資項目,一般包括資安設備與服務的採購、部署策略及總體安全政策的擬定、員工資安意識與安全人員能力的強化、內控與稽核的全面落實,乃至於採購決策分析機制的建立等,都是資訊安全的投資項目。

張晉瑞表示,科技及駭客技術不斷演進,資安是永遠做不完的專案,企業應以資源管理的角度,設定保護標的及資安資源的優先順序。

張晉瑞強調,資訊安全要做好,除了一般認知上購買先進的資安軟硬體設備外,也包括了專業人才的招攬、能力的培育、意識的宣導、制度的建立與組織的調整,這些不同的面向都要投入資源,故辨識企業所面臨的風險,擬定風險為導向之資訊安全策略建置符合 ROI 的風險管理策略實為首要。

 

關於資誠 (PwC Taiwan)

資誠(PwC Taiwan)係PwC全球聯盟組織在台灣之聯盟所, 我們的使命是「營造社會誠信,解決重要問題」。資誠全球聯盟組織遍佈158個國家,計有逾236,000名專業人員在世界各地致力於提供高品質的審計、稅務及顧問諮詢服務。在台灣,資誠聯合會計師事務所偕同6家策略合作夥伴(普華商務法律事務所、資誠企管顧問(股)公司、資誠永續發展服務(股)公司、普華國際財務顧問(股)公司、資誠稅務諮詢顧問(股)公司以及普華智財管理顧問(股)公司),於全台8個服務據點提供客戶服務, 員工人數合計超過2,700位。

Contact us

楊 証凱
媒體聯絡人
Tel: +886 2 27296666, x26610
Email

關注我們