數位信任與資訊安全 Blog

【2021 資安年會專題】5G時代來臨，在車輛科技的演進之下，各種車聯網的運用已成為主要趨勢發展，汽車安全已由功能安全擴展到資通訊安全層面。簡單而言，車輛就是車輪上的電腦，攻擊面向越大，導致系統更容易受到攻擊。在資訊安全領域，一個新的技術應用就相對帶來新的風險，如何因應風險就是重要課題，此次將介紹相應的標準，提供做為汽車網路安全風險控制之應用參考。

【資安年會專題】加密貨幣駭客被盜事件頻傳，博歐科技CYBAVO徐千洋技術長指出資安管理的核心關鍵在於私鑰的安全機制，他以自家公司的服務為例，從五個私鑰管理的服務與機制，包含託管系統模組、多層多簽設計、備援機制、內控機制以及保險理賠等面向，提出加密貨幣中，資安管理更精進的實務作法。

【資安年會專題】鴻海研究院執行長兼資安所所長李維斌博士以自身經驗出發說明資訊長（CIO）與資安長（CISO）的職責分工與角色困難，並分享到供應鏈安全不只是一條「鏈」，更是「生態」，如何在一個動態生態系中做好資安，困難度變得更高。努力促 Cybersecurity 與 Resilience：「有韌性才能適應未來的不確定性」，提高安全、保護隱私、建立信任是成功永續的關鍵。

身處勒索軟體攻擊、網路安全與資料外洩新聞事件頻傳的時代，如何確保組織持續受到防護？BSI 與技術夥伴 Exonar 的專家們特別提到避免資料外洩不僅只與 IT 團隊有關，而是牽涉到多個部門、人員與流程，建議組織採取 7 大關鍵行動確保持續受到防護。

【2021 資安年會專題】全球高階經理人越來越意識到強化網路安全所帶來的價值，包含對於網路安全攻擊後的適應性與復原能力，都將有助於企業營運獲利、以及獲得客戶或股東信任。BSI 台灣資通安全客製化查核／NIST CSF 網路安全框架／金融合規產品經理潘世鳴（Peter Pan）介紹如何藉由資安成熟度的網路安全框架，協助組織走向企業資安治理，全面提升組織整體資安營運與防護策略，以便能夠更快地做出回應與復原。

【2021 資安年會專題】企業的 ESG 作為與資訊科技及資安領域的議題其實並不牴觸，許多 ESG 解決方案都要求透過數位轉型作為節能減碳的途徑，與數位轉型產生直接及間接的關係。如何運用資訊科技去達成永續目標，隨之而來的資安議題，企業組織要如何將挑戰變為機會？BSI 東北亞區總經理蒲樹盛在「BSI 國際資安標準管理年會」以開場演講與來賓分享資訊安全是 CXO 層級需要更加正視的課題。

【2021 資安年會專題】由於 ISO/IEC 27002 改版進行中，讓業界開始聯想許久未改版的 ISO/IEC 27001 是否也將開始有所動作，針對市場對 ISO/IEC 27001 系列改版的熱議，BSI 台灣營運長謝君豪特別在「BSI 國際資安標準管理年會」提醒業界先進，透過了解相關標準的制定歷程，就能避免對改版時程的誤解。

支付卡產業資料安全標準（PCI DSS）是支付卡產業安全標準協會為了保護持卡人資料及交易安全所訂定的標準，所有與支付卡處理相關聯的機構，包括商家、服務供應商、收單機構及發卡機構都必須符合該標準的要求。在電子商務已漸成實體店先驅的現代，本文將探討 PCI DSS 在零售業中的應用方式。

根據 DCMS（英國數位文化媒體暨體育部）在 2020 年所公布的調查顯示組織面臨的威脅日益嚴重。過去 12 個月，將近半數的組織遇到至少一次的網路侵害或攻擊。BSI 專家分享網路安全標準化的核心為 ISO/IEC 27001 系列標準如何有助於組織的網路安全，其系列涵蓋約 40 項標準更深入規範如隱私、供應鏈網路安全或雲端運算等問題。

雲端安全聯盟（CSA）在去年 1 月公布了最新版本的雲端控制矩陣 v4（CCM v4）。目的是以雲端資訊安全為中心架構，繼續引領雲端供應商和用戶前進，以符合市場的需求。自 CCM v4 發布後至 2022 年 7 月間，已通過 STAR 認證的組織務必要完成雲端控制矩陣的轉換作業，同時須在此期間內，接受新版標準的轉換稽核並取得證書，否則在 2022 年 7 月 31 日截止後，原先的 STAR 證書將會失效。

在疫情中解封並不是重返「常態」，企業需要考慮實施新的工作流程和方法，以確保安全的工作場所；同時還需考量醫療隱私與身體自主權、疫苗接種、傳染控制與在社會重新開放的情況下妥善管理以降低感染 Covid-19 的風險。本文提供幾個企業考量員工安全、公共衛生建議及回到實體工作場所在隱私權上的可能影響的幾個切入方向和參考資訊。

無論是否準備就緒，組織都必須為遠端工作制定並實施相關規範，替不可避免的趨勢及無法預見的問題進行規劃。如何因應不斷演進與分散的工作場所並滿足員工需求，BSI 資訊暨安全技術全球實務總監 Stephen Bowes 提供了 10 項建議。