依国际标准制定OT管理架构 逐步落实永续网安治理

2022/01/20 - DIGITIMES企划

根据PwC在2021年的台湾企业领袖调查，显示在疫情洗礼下，企业的风险管理意识抬头，多已重新评估自身的风险承受力，亦将网安列为风险的一环。资诚智能风险管理谘询公司执行董事张晋瑞表示，因此如何促使企业网安治理持续进化，已成为重要命题。

张晋瑞以台湾半导体业的实例，阐释企业网安治理的进化旅程。他指出，2021年道琼永续指数(DJSI)问卷深入强化的重点，包含网安治理层级、事件通报机制，及网安管理体系的持续营运计划与外部验证；意谓企业需关注的面向增多，且越来越深入内部治理实作，让企业疲于追逐，故一家半导体领域的领导业者，不欲陷入每年被动解题的轮回，着手主动设计网安发展战略，规划未来3~10年网安蓝图。

该半导体业者考量旗下各厂区网安能力不一，于是运用统一标准进行成熟度评估，将它们区分为不同的成熟度团体，订定不同成长目标，而非齐头式的目标，形同为各厂区提供持续性改进的架构图，一步一步迈向网安成熟。

另不可讳言，供应链网安也是影响企业网安治理成效的一大关键。张晋瑞说，以往受到关注的供应链管理思维，通常涵盖组织、业务计划、产品生命周期、采购、后勤、仓储、客服等元素，并未包括网安；甚至根据PwC 2013年的调查，仅2%认为网安在供应链中是重要风险。但8年后的今天，随着黑客团体的步步进逼，迫使许多企业转变思维，开始认定网安是攸关生产与营运永续的要素。

但光是自己做好网安并不够，只因制造厂有原物料、零组件、生产设备、监控管理设备、环安管理设备、行政支持设备、其他营运服务等供应商，且这些供应商还有各自的供应商，上下游连在一起，导致大家的网安曝险机率比想像中巨大。

供应链又长又杂，别人要怎麽做，才不致沦为黑客攻击标的、进而影响到我？必须从自身强化推进到供应商安全强化。张晋瑞提醒，所谓强化并非闭门造车，应参考国际标准，才能让整个供应链夥拥有共同语言、一起前进，避免出现多头马。

他建议企业优先以IEC 62443-2-1架构，做为强化自身安全管理的依据，带动资产管理、弱点管理、权限管理、数据保护、事件管理、网安治理全面成熟。接着依据IEC 62443-2-4，运用其中12项功能模块，建立供应商安全管理架构。

总括来说，现今仍有不少工业企业，存在重IT、轻OT、缺网安治理等典型现状，忽略网安治理及营运科技对于制造业永续的重要性，易使OT如同单枪匹马冲进黑客大军；唯今之计，企业应尽速援引个个科技安全管理架构，做为现况分析的工具、策略拟定的罗盘，达到网安治理、IT安全、OT安全之均衡发展。


图说：资诚智能风险管理谘询公司执行董事张晋瑞。DIGITIMES