台湾第一个以企业科技品牌名称加入FIRST，华硕电脑ASUS打造资安新里程碑，一趟务实的资安国际之旅

在全球数位威胁日益复杂的今日，企业资安已不再是单纯的技术防御，更升华为一种战略高度与国际合作的体现。面对瞬息万变的网路战场，全球知名的电脑品牌华硕电脑（ASUS）去年12月宣布，正式加入国际资安事件应变小组论坛（Forum of Incident Response and Security Teams，FIRST），此举不仅是该公司资安策略深化的重要里程碑，更彰显其对产品安全和社群共好的积极承诺。

华硕电脑资安长金庆柏表示，该公司此次选择以企业品牌名称「ASUS」加入FIRST，而非是以CSIRT或PSIRT名称加入，就是跟国际品牌大厂，如Apple、Dell、HP等看齐，强调华硕电脑的资安，已经涵盖资安事件处理的CSIRT，以及产品安全的PSIRT等两种角色，不会有所偏废。

企业资安组织的蜕变，从虚拟团队到专责中心

华硕电脑的资安转型之路，可追溯至2020年。华硕电脑资安部副理许宗仁指出，早在2020年5月，该公司便已成立「资讯安全委员会」。他表示，这个委员会在董事长的监督管理下运作，并已包含资讯安全事件应变团队（CSIRT），以及产品安全事件应变团队（PSIRT）的虚拟编组。

「最初，华硕电脑内部资安议题缺乏跨团队协调的平台，各产品团队在面对漏洞（如CVE申请）时，往往各自摸索解决方案。」许宗仁回忆道。而资安委员会的成立，正是为了解决这一痛点，让各单位能将资安需求和遇到的问题提出讨论，形成经验交流的平台，例如，对于产品漏洞如何申请CVE编号的工作，过去不同单位各自想办法，现在则能透过委员会与TW-CERT建立统一的申请管道。

资安长金庆柏回忆，他在2021年开始担任资安长一职。华硕电脑在9月正式设立资安专责单位「数位安全中心」，并同时设立了资安长职位。

金庆柏表示，这个时间点，其实早于主管机关对上市柜公司设立资安专责单位，以及设立资安长的要求，充分展现了华硕电脑将资安「务实不务虚」的决心，并非仅为法规合规而已。当时，华硕电脑执行长已明确指示：「资安这件事情，没事就没事，但是，出事就是大事。」因此，高层拍板决定成立专责团队。

许宗仁进一步说明，在数位安全中心之下，他们于2023年1月1日成立「威胁监测暨事故回应部门」，此部门正是CSIRT和PSIRT的核心所在，同时涵盖安全开发、安全架构及资安治理等职能。

华硕电脑资安部经理刘谕聪补充说明，「数位安全中心」的成员组成广泛，涵盖至少15个事业单位，以及众多功能性与核心运作单位，如人资、财务、法务、客服、公关、业务等。

他表示，实际处理CSIRT相关事务的人员约有50人，形成一个庞大的虚拟团队；这个团队每月定期召开月例会，由资安长金庆柏主持，副董事长及两位共同执行长皆会参与，目的就是确保高层的指示能有效传达至各单位，并让跨领域的单位也能提出资安相关的需求与考量。刘谕聪认为，这种跨领域的协作模式，大幅提升资安议题的可视性与回应速度。

加入国际情资组织，用资安为品牌加分

金庆柏强调，资安是一个「全世界共同的议题」。他深信，「一个人走得快，但是一群人走得远」的道理，因此积极参与更多的国际资安组织与国际性展览，不仅有助于企业教学相长、终身学习，更能建立资安领域所需的信任度。他表示，华硕电脑在2024年6月，便已前往日本福冈参加FIRST年会，作为加入该组织的先行准备。

华硕电脑涵盖电脑组装主机板、AOD装置、穿戴式装置、笔记型电脑，乃至AI伺服器等多种产品线，金庆柏指出，他们不同于多数台湾代工厂，客户对其产品安全性有极高的要求，华硕电脑必须负起主要责任。

他强调，华硕电脑作为国际品牌公司，产品行销全世界，对产品安全的认知、要求和持续改善至关重要，这能增加华硕品牌与产品的附加价值。

因此，他认为，加入FIRST有助于华硕电脑遵守全球性的法规要求，例如欧盟的《资安韧性法（Cyber Resilience Act，CRA）》，以及美国的《网路信任标章（Cyber Trust Mark）》；而透过与FIRST的交流，华硕电脑能深入了解国际社会在产品安全上的法规，以及未来要求。

金庆柏也期许华硕电脑能借此协助台湾产业和公部门，在产品安全上，符合全球未来趋势，推动「台湾设计、台湾制造」的产品安全理念。他提到，台湾政府也高度重视资安，并关注全球ICT、消费性及IoT产品的资安法规，并协助台湾厂商及早了解国际要求，因为许多产品的验测需长达一年半的规画，所以政府也将资安产业视为重要产业。

此外，华硕电脑希望在产品安全上能有「加值效果」，让从硬体、韧体、作业系统到应用程式的华硕电脑产品更加安全。金庆柏以瑞典Volvo汽车对安全的重视为例，阐明华硕电脑希望成为让消费者信任的品牌，让客户想到「更安全的汽车」就会想到Volvo，这也可能带来「优质标章」（Premium Label）的效果，提升产品售价，避免低价竞争。

对于资安「高调会被攻击」的迷思，金庆柏认为这是过时的想法。他指出，华硕电脑、台积电、鸿海等公司之所以可能成为被锁定目标，是因为这些企业够大、获利能力强，华硕电脑更是连续11年台湾品牌价值第一名。他认为，许多骇客攻击都是透过自动化工具进行，并不会因为企业是否「高调」而特别锁定，除非是APT攻击或网路间谍。

如何落实内部协调与专业信任，成最大挑战

在华硕电脑资安组织的建立与运作过程中，刘谕聪与许宗仁坦言面临不少挑战。许宗仁指出，最大的困难在于与各事业单位进行协调的过程。他笑称：「光是要派出什么样的人员参与，就有很多可以『吵』的」。

许宗仁表示，资安中心要求各单位派出的成员必须具备一定层级、资历与产业知识，才能有效对接并在事件发生时进行处理与通知。对此，他也进一步解释，许多事业单位会质疑「做这件事情对我来讲，有什么帮助？」因此，难免有许多抗拒。

为了解决这个问题，华硕资安中心设置三种角色：资安干事、PSIRT成员、CSIRT成员，其中的资安干事负责宣达策略，CSIRT成员处理资安事件调查，PSIRT成员则针对产品线特有的资安问题，提供专业协助。

刘谕聪则将资安团队的运作比喻为「里民服务」，他指出，华硕电脑内部的不同事业单位如同「各自山头」，彼此的了解不深，资安中心扮演著「中间人」的角色，不仅要具备专业的资安背景，更需要极佳的沟通与协调能力。

刘谕聪表示，资安团队的成员，如许宗仁等，必须能够面对来自近50个功能性及核心运作单位的各式各样问题，从法务、财务、人资到客服、公关，都需要提供协助与建议。「这也考验著团队成员的热情与耐心。」胎说

此外，要获得华硕电脑内部研发（RD）和IT团队的信任，专业能力更是关键。刘谕聪强调，如果你不够专业，或是你无法把问题的核心或是风险到底在哪里，跟内部同仁说明或是跟他们做出证明的时候，其实是难以说服这些团队的，信任感没有办法建立起来。

许宗仁补充，有时需要直接将攻防过程展示给内部同仁看，例如，「某种攻击手法是如何攻进企业内部，展示给同仁看，对方一看就知道了」、「某个地方如何提高防御力，实际操作一次，同仁就明白了」。

他认为，这不仅要求资安团队成员具备高强的技术能力，也必须不断追逐最新的资安新闻、技术趋势与法规变化，以提供精准的分析与建议。许宗仁表示，团队成员为此，每天都会阅读全球资安相关新闻，以期能快速掌握最新法规变化，并即时传达给业务团队。

加入FIRST必须经历的严谨程序与SIM3评估

谈到加入FIRST的实际过程，许宗仁详细说明了其严谨性。他表示，早在2018年就已得知FIRST这个组织，并在2023年进入华硕电脑后，向主管提出加入FIRST的建议，最终在2024年将其纳入规画。

加入FIRST的首要步骤，是进行「SIM3成熟度评估表」（Security Incident Management Maturity Model）的自评。许宗仁解释，SIM3是FIRST推广的资安事件处理成熟度模型，其核心目的是评估并提升资安事件处理小组（包括：CSIRT、 CERT、SOC 等）的运作成熟度与能力。

许宗仁指出，「这份评估表涵盖了组织（Organizational，ORG）、人员（Human，HUM）、工具（Tools，TOOL）、程序（Processes，PROC）等四大面向，共约44个参数。」每个参数则以五级制（从0到4表示无到完善成熟）衡量成熟度。

许宗仁表示，华硕在申请FIRST会员资格时，必须达到特定的成熟度要求，例如对于CSIRT职责的分配，就必须经由高阶管理层核准，并要求达到等级三的标准。为了准备这份SIM3自我评估，许宗仁自行制作一份详尽的中文英文对照表，标注FIRST会员资格所要求的必要项目，以便内部检视与佐证。

他指出，虽然官方估计SIM3自评仅需一周，但为了提供完整的佐证资料并确保万无一失，他投入大量的时间进行文件整备，实际投入SIM3评估与文件整备的时间约在2到3个月。他表示，SIM3评估从2024年3月开始，文件整备则持续到10月底完成。随后，华硕电脑在11月初提交了申请。

申请过程还需要两位推荐人（Sponsor）。华硕电脑的第一位推荐人是勤业众信（Deloitte），第二位是TeamT5。许宗仁表示，推荐人不仅要在申请文件上背书，甚至会进行实地访查，以确认申请单位确实符合资格。他说，华硕电脑的第一位推荐人勤业众信，便在2024年11月1日进行了实地访视，确认华硕符合资格。

尽管从最初的资讯委员会成立到决定加入FIRST的意识（Awareness）阶段较长，但许宗仁实际投入SIM3评估与文件整备的时间约在2到3个月。由于审核过程通常采取批次进行，华硕电脑的申请很快便获得通过，成为FIRST的正式会员。

值得一提的是，华硕电脑刻意选择以「ASUS」这个公司及品牌名称加入FIRST，而非单纯常见的以CSIRT或PSIRT名称加入，与Apple、Dell、HP等国际品牌商的做法类似。他强调：「这也代表华硕电脑的资安，已经涵盖CSIRT和PSIRT的全部职能，展现出CSIRT/PSIRT全都要的决心。」

此外，华硕电脑在2024年9月18日也正式成为CVE编号发放机构（CNA），是台湾第11个CNA组织。许宗仁表示，这也让华硕电脑能够掌握自家产品CVE的发放节奏与时程，确保在漏洞对外揭露前，相关修补程式都已完成测试、派送，并促使客户完成升级，将对客户提供的资安保护极大化。他说，华硕电脑内部还为此开发CWE（Common Weakness Enumeration）查核系统，用以统计并减少持续发生的重复性弱点。

加入FIRST带来的质变与量变，加速情资分析与精准回应

加入FIRST之后，华硕电脑资安团队的日常运作产生了显著的「质变」与「量变」。许宗仁指出，最直接的效益是能够「更快接收到所有的全球情资与「最佳实务」。他表示，透过FIRST提供的每日新闻邮件，可以快速浏览全球的资安漏洞、威胁动态及法规变化，大幅减少自行搜集资讯所需的时间与精力。

此外，FIRST也提供名为「MISP」的平台，许宗仁解释，该平台汇集了全球开源情资，包含俗称IoC（Indicators of Compromise）的资料，让华硕电脑能快速取得并利用这些资讯进行威胁分析。

刘谕聪补充说明，这使得华硕电脑对于任何资安问题的「可视性」都提高了，并且，「整体回应（Response）的时间也持续缩短，华硕电脑就能够更快应对来自长篇报告、漏洞通报、外部或内部资安事件的各种议题。」他说。

在知识分享与团队协作方面，加入FIRST后的效益更是显著。许宗仁指出，透过FIRST的虚拟团队模式及每月例会的经验交流，华硕电脑内部各事业单位在资安认知上，能够「对齐」。

他进一步解释，资安团队会在例会中，分享各种资安事件的处理经验与重大漏洞议题，确保团队可以学到相关的知识；若有团队曾经「受伤」（受骇），其经验将回馈至整个华硕电脑，做到「不二过」。

刘谕聪则强调，这样的作为，使得华硕电脑能够将重复、持续发生的弱点，以及开发方式有问题的部分，持续降低，大幅提升该公司的资安防护能力。

另一个吸引刘谕聪的好处在于，加入FIRST后，华硕电脑资安团队有机会参与FIRST的「特殊工作小组」（Special Interest Group，SIG），其中，他对华硕电脑加入「EPSS-SIG」（Exploit Prediction Scoring System SIG）兴致勃勃。

他指出，EPSS（Exploit Prediction Scoring System）用于预测CVE（Common Vulnerabilities and Exposures）漏洞，在未来30天内可被骇客利用可能性的动态数值，「这对于资源有限但面临大量漏洞需修补的企业来说，极为实用。」刘谕聪说。

他进一步解释，传统的CVSS分数虽高，但若缺乏实际利用率的资讯，仍难以有效判断修补优先级；但是，现在透过EPSS，就可以更精准地评估全球范围内漏洞被利用的状况，从而优先修补那些真正高风险的漏洞。

刘谕聪期待，透过参与此类工作组，能更深入了解这些数值的计算方式，甚至有机会参与未来的标准制定。目前华硕规画将加入AI security、威胁情资、PSIRT，以及资料传输等特别工作组。

引领产业标准、深化资安韧性，共筑安全生态

对于加入FIRST后的未来规画与期待，金庆柏寄予厚望。他期许华硕电脑资安团队能够积极参与FIRST的各个工作组（SIG），不仅掌握最新资讯，更能在未来的标准制定上有所贡献，甚至「代表台湾扮演更重要的角色」。

许宗仁表示，华硕电脑参与FIRST的最终目标是提升「整体资安韧性」，包括从FIRST接收到的各种国内「最佳实务」与资安议题，都回馈到公司的相关产品上。

他强调，希望其他公司出现的漏洞情况，不要出现在华硕电脑产品上，借此提升客户对华硕电脑产品的信任度，而这种信任不仅限于电脑或手机等核心产品，也希望延伸到穿戴式装置、IoT设备，甚至无线AP等网通产品，以确保用户的隐私与资料安全，提供「兼顾简单防护的功能」。许宗仁坦承，这是一条「漫漫长路」，但华硕电脑将持续努力。

刘谕聪也补充，透过资安委员会，华硕电脑将不断统计自家产品发出的CVE数量与分布，并邀请各团队在月例会中分享改善与强化的方案。他指出，该公司各团队将持续透过各种工具和流程，如源码检测、开源软体组成分析等，协助各事业单位有效应对资安挑战。

最重要的是，刘谕聪表示，华硕电脑致力于建立「非常明确透明的通讯管道」，让客户能随时联系华硕电脑反映问题，并且保证内部资安团队会积极回应、确认与处理，确保漏洞问题不会在不同的产品线上重复发生，「借此可以为所有华硕电脑软体团队，节省犯错跟摸索的时间。」他说。

华硕电脑加入FIRST，不仅是其资安能力获得国际肯定的体现，更是对全球资安社群合作的积极回应。从早期资安委员会的建立，到专责数位安全中心的成立，再到成为FIRST成员，以及成为CVE发放机构，金庆柏表示，华硕电脑一步一脚印地强化自身资安体质，并将资安视为提升品牌价值与客户信任的核心要素。

此外，金庆柏协助创办的「高科技资安联盟」和「台湾资安主管联盟」，也正是华硕电脑资安策略中实现「社群共好」的缩影。他认为，资安工作有时会很孤单，透过建立平台，可以让资安人员了解产业现况与共同担忧，并参考NIST、OWASP等国际指引，而非从零开始摸索。

他强调，华硕电脑透过资安团队持续的努力，不仅为自身产品筑起坚固防线，更期盼能透过国际合作与社群贡献，与各界携手共筑一个更安全、更值得信赖的数位生态系统。

 

华硕电脑资安长金庆柏表示，华硕电脑不同于其他代工业者，产品线多元，客户对于产品的安全性也有一定的要求。因此，华硕电脑作为行销全世界的国际品牌公司，需要一肩扛起资安的责任。