【台湾资安大会直击】老牌营建传产欣陆投控分享内部强化资安治理作法，并符合上市柜公司资安法遵规范

上市柜传统产业如何跟上现今资安威胁趋势强化内部的资安治理？在今年台湾资安大会上，旗下拥有大陆工程的欣陆投控资讯部副总经理费而隐分享他们的作法。

欣陆投控旗下拥有大陆工程、大陆建设、欣达环工公司，涵盖土木及营建工程、不动产开发、环境工程及水资源处理，拥有近2,000名员工，为国内上市公司。费而隐过去曾在台积电、鸿海、IBM等企业任职，在半导体、科技业、医药物流拥有丰富的资讯治理经验，并于2022年加入欣陆投控。

企业推动数位转型发展过程中，数位科技应用目的是提升营运效率，也是大多数公司数位转型发展的利器，从半导体、科技、医药物流到传统产业推动资讯化的经验，他将数位科技比喻为西游记手持金箍棒的孙悟空，一路降伏各路妖怪保护唐僧西天取经安全，但是数位科技应用也需要妥善管理，才能让孙悟空不会暴走影响取经，资安治理就如同紧箍咒，避免孙悟空暴走失控，扮演好护道者角色，

「金箍棒和紧箍咒，如传统产业运用数位科技提高业务效率，又要兼顾资讯安全及风险管理」，费而隐说。

费而隐表示，欣陆投控的数位优化整体策略是，提升营运效率、强化风险控管、建构数位韧性。围绕在该核心策略下，子公司业务加速运用数位科技，例如大陆工程导入BIM、无人机量测，以及仪表板视觉化的工地管理，大陆建设则运用数据分析，进行市场分析及产品优化，欣达环工以水资源处理为主，运用SCADA、远端监控，涵盖IT及OT管理、ESG相关议题。三个子公司之外，全集团也强化数位工作场所，运用数位化工具，例如以云端优先、行动化提升员工生产力及数位力。

欣陆投控另一项全集团推动的重点则是资讯安全，推动ISO认证、SOC建置，加强权限管理，还有建构资安文化，还有对上市公司而言，相当重要的法遵机制。

「资安在公司内部也成为经常被讨论的管理议题，甚至是策略议题」，费而隐说。

传统产业的资安治理困境

从重视资讯化发展、严密资料安全的半导体、科技业投身到传统产业，他分享对传统产业推动资安治理的观察。

首先是，被动防守，缺乏战略视角，资安经常被认为是资讯部门的工作，例如安装防毒软体、防火墙就认为作好资安，另外，也缺乏管理阶层的预算及支持，管理高层对于资安的意识也比较薄弱。

费而隐回想刚进入公司时，曾与老板讨论到资安议题，当时高层反问他，对营建业而言，资安风险很大吗？公司内存在什么机密资讯吗？这让他感到意外，也印象深刻，因为公司内的资料都属于营业秘密，都有被妥善保护的必要，另方面客户的个资保护也很重要，都是资安防护重要的一环。「必需透过不断与老板对话，向老板洗脑资安的重要性」，他说。

其次是，内部资讯系统发展较早，这些系统使用到现在已相当老旧，去年欣陆淘汰使用超过20年的旧系统，该系统使用Powerbuilder开发，为Client-Server架构，由于维护管理困难，加上漏洞难以修补，不得不打掉重练，委外重新以.NET开发新系统，但因应使用者的要求，外观仍保留与旧系统的相似。

另外，传统产业也面临人才招募困难，难以吸引年轻的人才，并且，不少员工对资安的认知仍停留在防毒软体，对于社交工程等内部的风险警觉性不足。

加上欣陆为上市公司，受到个资法、资安法、上市柜公司相关法规的规范，特别是近几年对资安的重视，但业者知道该做，却不知道如何著手，另方面，外部的威胁如勒索软体攻击频传，供应链风险增加。

资安不只是导入技术，更重要在于建立治理规范

费而隐表示，以往企业的资安策略习惯从技术思维切入，当时他加入欣陆，发现公司内部署防毒软体、防火墙、IPS、XDR，甚至是购买暗网的情资，看似不吝巨资投资资安，但是缺少资安治理的思维，当时进入防毒软体管理后台，发现不少亮红灯的警示，虽然导入许多数位工具，但是缺少营运面持续维运管理。「当我们导入许多数位工具，如同金箍棒可大可小变化多端，但如果没有好好的控制就可能会失控，必需考量风险，用资安紧箍咒作好平衡」，他说。

他分享资安治理的六个心法，第一个心法是先建立纪律，如同唐僧为孙悟空戴上紧箍咒，建立资安政策及ISO27001框架，建立企业基本的纪律规范；第二是建立界线，如同紧箍咒为孙悟空画分清楚什么能做，什么不能做，建立界线包括权限管理、网路区隔、系统隔离；第三是提醒，如同唐僧时常念咒提醒孙悟空，资安也需要教育演练、社交工程演练，建立员工的资安意识。（下图来源：费而隐）

第四个心法是惩戒，唐僧一发现孙悟空做错事，就立即念紧箍咒。企业建立事件通报、快速应变措施，快速止损；第五个是监控，如同唐僧监督孙悟空一言一行，企业部署SOC资安维运中心，监控异常发生的情形，防范于未然；第六个心法是要让资安治理成为隐形存在，如同西游记的后期孙悟空不再被念咒，因为孙悟空学会自律，不再随意杀生，换言之，让资安从外部的规范内化为企业文化，虽然看不见，但是已成为企业组织文化的一部分。

从管理面、技术面、文化面加强资安治理

对于企业如何加强资安治理？费而隐建议企业可参考数发部委托CISA制定的「资通安全管理法」指采购指引懒人包，当中将资安治理分为三大构面，技术面（例如弱扫、端点防护、渗透测试等等）、管理面（建立制度、稽核、治理评估等等）、认知与训练面（员工教育训练，培养组织文化）。依照政府机关重要性分级，分为A、B、C、D、E等级，其中A级机关规定最严格的资安防护等级。

尽管企业建立资安治理的纪律，但在落实上需要持续执行，费而隐直言，依照国际资安治理标准的规定，需要定期稽核企业的落实情形，但企业在资安治理缺乏持续落实，例如企业因为内部资源的调度，将原本应该执行弱扫的经费移作他用，或是只对新进、资深员工作最初资安教育训练，之后没有执行定期训练，这些都反映建立管理面、认知与训练面没有妥善执行。

为加强资安治理，费而隐向欣陆集团的高层建议导入ISO27001资安管理机制，他表示，欣陆集团过去3年导入ISO27001认证，这并不代为欣陆的资安做的很厉害，但是代表至少有60分，因为建立基本的治理框架，每年针对PDCA持续改善，并且建立内外稽核制度。

欣陆集团采集团验证模型，分三年依序导入ISO27001于各成员子公司，先在大陆建设、欣达环工导入，再在大陆工程导入，在顾问的辅导下，由SGS外部稽核，并采用PDCA持续改善。

最近几年，证交所、金管会先后发布上市柜公司重大讯息、年报、资通安全管控指引，要求发生资安事件应发重大讯息，下修资安事件发布重大讯息通知的门槛，还有资通安全内部管控措施，国发会也修正个资法。2024年5月金管会督导证交所、柜买中心推动八大资安措施，例如重大资安事件揭露标准；扩大上市柜公司首季抽查资安内控制度查核，从上市柜公司的0.5%提高到1%；推动加入资安联防中心等等。

面对金管会以三大面向，资讯揭露、公司治理、监理协助，要求上市柜公司加强资通安全防护，欣陆集团为遵循要求，在内部建立检查表，费而隐表示，欣陆在管理面已符合主管机关的要求。

例如在年报中揭露公司的资讯安全风险管理架构、资通安全政策、资通管理方案等等；公司网站揭露资通安全政策与作法；内控制度纳入资通安全检查暨法令规章遵循事项稽核；公司治理评鉴纳入资安指标；定期向董事会报告资安执行状况；通过ISO27001:2022认证；设立资安专责主管及一名资安专责人员；持续落实与遵循「上市上柜公司资通安全管控指引」；加入TWCERT/CC资安联防体系等等。

至于技术面部分，费而隐则提到从装置点、系统端、网路端、资料端、监控端，从各端点建立纵深防御机制。

在认知与训练面，为提升员工的资安认知及意识，规定每位员工每年接受资安教育训练2小时资安课程；其次是每年至少1次社交工程演练，如果违反第一次社交工程演练，后续再执行第二次社交工程演练；最后是资安事件演练，例如蓝队或红队演练，提高员工的资安意识及应变能力。

作到上述措施还不够，费而隐揭露欣陆的下一步是，持续深化资安治理、强化韧性。例如在系统安全的组态管理上，目前仍以人工管理为主，未来目标为导入CMDB的自动化管理；而在云端方面，针对云端服务加强管理及云原生CNAPP保护，其他的资安措施还包括供应链及第三方风险管理、身分安全及特权管理、零信任安全架构、强化资安事件的韧性、软体开发导入DevSecOps等。

费而隐表示，数位转型是企业破局的利器，但如果没有资安治理，创新反而可能成为风险放大器，如同使用金箍棒推动创新，需要紧箍咒守护信任，对资安主管来说，创新及资安如同天秤的两端需要平衡；企业导入ISO只是起点，治理才是关键，后续还需要持续PDCA改善，例如系统安全组态、零信任架构、云端风险管理等等。更重要的是，资安不只是技术议题，如同紧箍咒内化悟空的自律，资安也应内化为企业文化，「资安不只是IT部门的责任，而是全体员工共同的责任，也是企业永续经营重要的一环」，他说。