观念平台－ESG治理与数位转型 ─永续发展于资讯安全风险管理之策略方向

近年来，国际间与台湾都陆续颁布ESG相关的法令法规供企业遵循，不论是从永续发展的趋势或是相关规范愈趋严谨的角度，都可看出ESG对企业经营理念已有一定程度影响力。于2021年3月开始实施欧盟永续金融规范（SFDR，Sustainable Finance Disclosure Regulation），透过统一标准揭露和审视金融商品ESG落实程度的规范。

而台湾于2021年底颁布的「上市上柜公司永续发展实务守则」，则是为协助上市上柜公司实践企业社会责任，并促成经济、环境及社会之进步而制定，以达永续发展之目标，此类法令法规的出现也代表各企业已经开始针对自身产业类型可能的发展趋势讨论最佳实作方法。而道琼永续发展指数（DJSI）及明晟永续指数（MSCI）等国际永续指标将资安管理与隐私保护纳入评比项目，于问卷增加网路安全和系统稳定性，以及隐私保护等题组，显示资讯安全与隐私保护为达到ESG之公司治理领域重要项目。

对企业发展策略的可能风险

ESG治理与数位转型为企业保有竞争优势的核心战略。然而，在新兴科技的推动下，资讯安全风险也随之扩大，企业除了要建立成熟的控管程序外，更需兼顾管理面、技术面、人才面、环境面等公司治理强化作为。

因应COVID-19疫情后的新常态，居家办公与异地办公等远距工作模式，持续增加资讯安全和隐私保护的复杂性和风险。网路攻击带给企业及其客户严重的财务、运营和声誉风险。企业的董事会或审计委员会（Audit committees）应与高阶管理团队合作，以确保充分了解组织的网路风险概况，采取适当的投资和控制措施来有效地降低风险。

资安韧性是永续营运的关键能力，且为企业积极治理的重要指标，必须建立符合ESG目标的资安策略，巩固企业永续发展的基石。企业推动ESG的过程中，资讯安全绝对是不可忽视的重要议题，建议企业应落实下列作为：

一、台湾已发布「上市上柜公司资通安全管控指引」，企业应进行资通安全制度之规划、监控及执行资通安全管理作业，并配置适当人力资源及设备。

二、关注的全球网路安全治理趋势，可参考NIST提出之「网路安全框架（Cyber Security Framework, CSF）」，整合业务、威胁和能力等三要素之CSF成熟度评估工具，透过评估组织固有风险及网路安全控管之成熟度，决定网路安全之投资方向，并透过资安策略蓝图，拟订永续经营资安整体策略发展方向。

三、秉持「零信任（Zero Trust）」的精神，建立符合「永不信任，始终验证（Never Trust，Always Verify）」标准的实务，落实至组织各业务层面之运作，减少网路攻击的脆弱性，使各业务单位携手合作。