资安专家吁 检视IT承包商能力

台湾资安产业发展协会秘书长沈家生提醒，对于任何委托外部IT公司开发资讯平台或系统的企业、学院或政府机构，须确保承包公司谨遵资安管理政策，并拥有经认证的安全防护能力。此为示意图。（路透）

随着资讯技术深入整合于企业、教育和政府运作中，积极的资讯安全风险管理已变得至关重要；台湾资安产业发展协会秘书长沈家生提醒，对于任何委托外部IT公司开发资讯平台或系统的企业、学院或政府机构，须确保承包公司谨遵资安管理政策，并拥有经认证的安全防护能力。

骇客猖獗，国内外遭到勒索案件频传，受害者遍及政府机关、学校、企业等公私立单位。专家直接点出，要避免成为骇客勒索对象，IT承包公司的防护能力很重要。

沈家生进一步解释，委托方应要求第三方厂商出示其资安能力证明，包括安全能力认证、供应链安全证明；假设第三方供应商将任务分包给其他实体，下游供应商同样有责任展示其供应链安全管理措施。

目前半导体供应链管理就是模范生，规定下游供应商必须定期接受第三方资安公司的安全评估、验证；即使是选择第三方资安公司时，也要确保具政府认可的资安能力登录机构，以防止资安专业性不足或验证不充分。

为了避免敏感资料例如专案细节、原始码及个人资讯的外泄，委托方在专案交付前，也必须要求全面资安评估，包括但不限于弱点扫描、原始码审查以及渗透测试。

规模较复杂且包含网路设备及资安解决方案的建置专案，如行为入侵与攻击演练（BAS）以及红队演练（Red Team），以全面评估和加固组织的整体防御能力，确保在面对骇客时可以「魔高一尺、道高一丈」。