觀念平臺-ESG治理與數位轉型 ─永續發展於資訊安全風險管理之策略方向

近年來,國際間與臺灣都陸續頒佈ESG相關的法令法規供企業遵循,不論是從永續發展的趨勢或是相關規範愈趨嚴謹的角度,都可看出ESG對企業經營理念已有一定程度影響力。於2021年3月開始實施歐盟永續金融規範(SFDR,Sustainable Finance Disclosure Regulation),透過統一標準揭露和審視金融商品ESG落實程度的規範。

而臺灣於2021年底頒佈的「上市上櫃公司永續發展實務守則」,則是爲協助上市上櫃公司實踐企業社會責任,並促成經濟、環境及社會之進步而制定,以達永續發展之目標,此類法令法規的出現也代表各企業已經開始針對自身產業類型可能的發展趨勢討論最佳實作方法。而道瓊永續發展指數(DJSI)及明晟永續指數(MSCI)等國際永續指標將資安管理與隱私保護納入評比項目,於問卷增加網路安全和系統穩定性,以及隱私保護等題組,顯示資訊安全與隱私保護爲達到ESG之公司治理領域重要項目。

對企業發展策略的可能風險

ESG治理與數位轉型爲企業保有競爭優勢的核心戰略。然而,在新興科技的推動下,資訊安全風險也隨之擴大,企業除了要建立成熟的控管程序外,更需兼顧管理面、技術面、人才面、環境面等公司治理強化作爲。

因應COVID-19疫情後的新常態,居家辦公與異地辦公等遠距工作模式,持續增加資訊安全和隱私保護的複雜性和風險。網路攻擊帶給企業及其客戶嚴重的財務、運營和聲譽風險。企業的董事會或審計委員會(Audit committees)應與高階管理團隊合作,以確保充分了解組織的網路風險概況,採取適當的投資和控制措施來有效地降低風險。

資安韌性是永續營運的關鍵能力,且爲企業積極治理的重要指標,必須建立符合ESG目標的資安策略,鞏固企業永續發展的基石。企業推動ESG的過程中,資訊安全絕對是不可忽視的重要議題,建議企業應落實下列作爲:

一、臺灣已發佈「上市上櫃公司資通安全管控指引」,企業應進行資通安全制度之規劃、監控及執行資通安全管理作業,並配置適當人力資源及設備。

二、關注的全球網路安全治理趨勢,可參考NIST提出之「網路安全框架(Cyber Security Framework, CSF)」,整合業務、威脅和能力等三要素之CSF成熟度評估工具,透過評估組織固有風險及網路安全控管之成熟度,決定網路安全之投資方向,並透過資安策略藍圖,擬訂永續經營資安整體策略發展方向。

三、秉持「零信任(Zero Trust)」的精神,建立符合「永不信任,始終驗證(Never Trust,Always Verify)」標準的實務,落實至組織各業務層面之運作,減少網路攻擊的脆弱性,使各業務單位攜手合作。