随著数位化普及,科技已成为企业持续营运的基础之一,因此,资通讯科技风险管理(ICTRM)是企业风险管理(ERM)当前须持续关注的重要议题,2025台湾资安大会期间有多达8场演讲探讨风险管理,其中一场的主题恰好是解析ICTRM与ERM的关系,以及介绍相关的资安框架与可参照的法规遵循要求。
何谓资通讯科技风险(ICT风险)?资诚智能风险管理咨询公司董事长张晋瑞指出,组织面临的这类危机,广泛涵盖资讯安全、供应链、隐私,以及新兴技术(如物联网和人工智慧)带来的风险,他特别列出以下7种,帮助大家理解。
网路安全威胁
这是大家最熟悉的ICT风险,也是长期以来新闻媒体最常报导的资安新闻主题,囊括网路攻击、恶意程式、资料外泄、服务阻断攻击(DoS)、漏洞滥用攻击、内部威胁(Insider threats)
与ICT 相关的事件和中断
此类ICT风险与ICT的故障、停摆有关,包括系统故障、技术故障、人为错误、服务无法正常供应、营运或安全支付相关的事故。
第三方风险
可细分4种,与ICT的第三方服务供应商(third-party service providers)、ICT的转包有关,之所以有风险,问题在于厂商提供的资讯有落差、难从子承包商(subcontractors)获得资讯、子承包商本身的风险、第三方供应商无法符合契约需求。
张晋瑞指出,供应链现在是资安非常重要的部分,因为组织单是做好本身的资安是不够的,身处在这个科技挂帅的年代,我们没有办法靠自己做完所有的事情,所以一定会对资通讯科技带来这样的风险,上下游的伙伴也要一起把资安做好。关于呼吁大家要重视这项议题,张晋瑞其实在事实上,组织通常会有复委托或下包、转包的需求,因此,承接这些业务的供应商是否能把事情做好,最后都会影响到组织本身,而在现行的资安标准要求当中,这部分可参考实体和环境风险
此类ICT风险有哪些状况?像是自然灾害、实体型态的安全性外泄(管理不善、设备遭窃)、基础设施故障(停电、淹水)。
新兴技术风险
相较于长期应用的ICT技术,新兴科技仍在发展当中,会带来的风险大多是众人没想过的,而可能成为现行资安防护难以涵盖的层面。更早之前,一谈到这类风险,大家会先想到的领域会是云端运算与物联网(IoT),虽然这些技术如今已普遍用在许多地方,但大家因应相关风险的准备可能还是不够。
从去年开始,AI变得非常热门,也带来对应的风险,今年代理式AI(Agentic AI)浮出台面,受到重视的程度日渐升高,相关风险的讨论仍在进行。
资料相关风险
随著云端服务与AI应用日益普及,我们身处资料挂帅的年代,隐私外泄(Privacy Breaches)已成为当前最核心的问题,在此同时,资料风险也包括能存取资料的对象,是否超出合理合法的目的、资料的遗失(Data Loss)或遭到破坏(Data Corruption),以及资料治理(Data Governance)。
张晋瑞指出,我们希望资料是金矿,但如果没有妥善整理、管理,其实无法发挥不了效用,而且还可能相对应的风险。
营运韧性风险
此类ICT风险包含:缺乏业务持续运作计划(BCP)与灾难复原计划,以及修复能力未经过充分测试。张晋瑞认为,持续营运现在越来越重要,我们无法忍受ICT服务发生任何的中断状况,可能是本身的问题,或基础建设、资通安全服务、资讯设备有些状况,造成营运不得不中断,这些都跟韧性有关,因此,ICT的风险,其实就是每天都在处理的议题。
但他也提到向组织高层表达此事的重要性,如何沟通会是另一个层次的挑战。例如,在董事会这类更高阶的会议中报告时,须设法将营运韧性风险链接公司整体的风险管理策略,因为资讯与资安的相关工作可能都已做到一定的水准,但不应止于个别关注与处理各自的风险,还要从整个组织进行通盘考量,因为资通讯科技是当前组织的核心要素,它的风险必然会直接影响到业务目标的实现,没人能置身事外。