資安專家籲 檢視IT承包商能力
臺灣資安產業發展協會秘書長沈家生提醒,對於任何委託外部IT公司開發資訊平臺或系統的企業、學院或政府機構,須確保承包公司謹遵資安管理政策,並擁有經認證的安全防護能力。此爲示意圖。(路透)
隨着資訊技術深入整合於企業、教育和政府運作中,積極的資訊安全風險管理已變得至關重要;臺灣資安產業發展協會秘書長沈家生提醒,對於任何委託外部IT公司開發資訊平臺或系統的企業、學院或政府機構,須確保承包公司謹遵資安管理政策,並擁有經認證的安全防護能力。
駭客猖獗,國內外遭到勒索案件頻傳,受害者遍及政府機關、學校、企業等公私立單位。專家直接點出,要避免成爲駭客勒索對象,IT承包公司的防護能力很重要。
沈家生進一步解釋,委託方應要求第三方廠商出示其資安能力證明,包括安全能力認證、供應鏈安全證明;假設第三方供應商將任務分包給其他實體,下游供應商同樣有責任展示其供應鏈安全管理措施。
目前半導體供應鏈管理就是模範生,規定下游供應商必須定期接受第三方資安公司的安全評估、驗證;即使是選擇第三方資安公司時,也要確保具政府認可的資安能力登錄機構,以防止資安專業性不足或驗證不充分。
爲了避免敏感資料例如專案細節、原始碼及個人資訊的外泄,委託方在專案交付前,也必須要求全面資安評估,包括但不限於弱點掃描、原始碼審查以及滲透測試。
規模較複雜且包含網路設備及資安解決方案的建置專案,如行爲入侵與攻擊演練(BAS)以及紅隊演練(Red Team),以全面評估和加固組織的整體防禦能力,確保在面對駭客時可以「魔高一尺、道高一丈」。