智能应用 影音
DFourm0617
event

依国际标准制定OT管理架构 逐步落实永续网安治理

依国际标准制定OT管理架构 逐步落实永续网安治理

根据PwC在2021年的台湾企业领袖调查,显示在疫情洗礼下,企业的风险管理意识抬头,多已重新评估自身的风险承受力,亦将网安列为风险的一环。资诚智能风险管理谘询公司执行董事张晋瑞表示,因此如何促使企业网安治理持续进化,已成为重要命题。

张晋瑞以台湾半导体业的实例,阐释企业网安治理的进化旅程。他指出,2021年道琼永续指数(DJSI)问卷深入强化的重点,包含网安治理层级、事件通报机制,及网安管理体系的持续营运计划与外部验证;意谓企业需关注的面向增多,且越来越深入内部治理实作,让企业疲于追逐,故一家半导体领域的领导业者,不欲陷入每年被动解题的轮回,着手主动设计网安发展战略,规划未来3~10年网安蓝图。

该半导体业者考量旗下各厂区网安能力不一,于是运用统一标准进行成熟度评估,将它们区分为不同的成熟度团体,订定不同成长目标,而非齐头式的目标,形同为各厂区提供持续性改进的架构图,一步一步迈向网安成熟。

另不可讳言,供应链网安也是影响企业网安治理成效的一大关键。张晋瑞说,以往受到关注的供应链管理思维,通常涵盖组织、业务计划、产品生命周期、采购、后勤、仓储、客服等元素,并未包括网安;甚至根据PwC 2013年的调查,仅2%认为网安在供应链中是重要风险。但8年后的今天,随着黑客团体的步步进逼,迫使许多企业转变思维,开始认定网安是攸关生产与营运永续的要素。

但光是自己做好网安并不够,只因制造厂有原物料、零组件、生产设备、监控管理设备、环安管理设备、行政支持设备、其他营运服务等供应商,且这些供应商还有各自的供应商,上下游连在一起,导致大家的网安曝险机率比想像中巨大。

供应链又长又杂,别人要怎麽做,才不致沦为黑客攻击标的、进而影响到我?必须从自身强化推进到供应商安全强化。张晋瑞提醒,所谓强化并非闭门造车,应参考国际标准,才能让整个供应链夥拥有共同语言、一起前进,避免出现多头马。

他建议企业优先以IEC 62443-2-1架构,做为强化自身安全管理的依据,带动资产管理、弱点管理、权限管理、数据保护、事件管理、网安治理全面成熟。接着依据IEC 62443-2-4,运用其中12项功能模块,建立供应商安全管理架构。

总括来说,现今仍有不少工业企业,存在重IT、轻OT、缺网安治理等典型现状,忽略网安治理及营运科技对于制造业永续的重要性,易使OT如同单枪匹马冲进黑客大军;唯今之计,企业应尽速援引个个科技安全管理架构,做为现况分析的工具、策略拟定的罗盘,达到网安治理、IT安全、OT安全之均衡发展。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 网安