资安专家吁 检视IT承包商能力

台湾资安产业发展协会秘书长沈家生提醒,对于任何委托外部IT公司开发资讯平台或系统的企业、学院或政府机构,须确保承包公司谨遵资安管理政策,并拥有经认证的安全防护能力。此为示意图。(路透)

随着资讯技术深入整合于企业、教育和政府运作中,积极的资讯安全风险管理已变得至关重要;台湾资安产业发展协会秘书长沈家生提醒,对于任何委托外部IT公司开发资讯平台或系统的企业、学院或政府机构,须确保承包公司谨遵资安管理政策,并拥有经认证的安全防护能力。

骇客猖獗,国内外遭到勒索案件频传,受害者遍及政府机关、学校、企业等公私立单位。专家直接点出,要避免成为骇客勒索对象,IT承包公司的防护能力很重要。

沈家生进一步解释,委托方应要求第三方厂商出示其资安能力证明,包括安全能力认证、供应链安全证明;假设第三方供应商将任务分包给其他实体,下游供应商同样有责任展示其供应链安全管理措施。

目前半导体供应链管理就是模范生,规定下游供应商必须定期接受第三方资安公司的安全评估、验证;即使是选择第三方资安公司时,也要确保具政府认可的资安能力登录机构,以防止资安专业性不足或验证不充分。

为了避免敏感资料例如专案细节、原始码及个人资讯的外泄,委托方在专案交付前,也必须要求全面资安评估,包括但不限于弱点扫描、原始码审查以及渗透测试。

规模较复杂且包含网路设备及资安解决方案的建置专案,如行为入侵与攻击演练(BAS)以及红队演练(Red Team),以全面评估和加固组织的整体防御能力,确保在面对骇客时可以「魔高一尺、道高一丈」。