Jacky Pan / FDS Thailand Country Manager 

除了上篇對框架的基本理解外，筆者摘要了符合上篇框架的落實作法方針，期望可讓業者們在實際操作中遵循這些規範，將理論轉化為實際可行的安全措施。

針對資訊安全的實際措施，台灣的汽車產業業者可以從以下幾個方面入手：

一、制定資訊安全管理體系 (ISMS)

1. 建立制度

• 確立一套資訊安全政策，明確規範組織的結構、責任、實踐、程序、過程和資源配置。
• 資訊安全政策應該包括以下要素： 
  • 組織結構：明確資訊安全負責人、資訊安全委員會等組織結構。
  • 責任分工：定義各部門的資安責任，確保每個人都知道自己的角色。
  • 實踐和程序：確定實施資安措施的具體步驟和程序。
  • 資源配置：確保資安相關的資源（人力、技術、財務）得到適當配置。

2. 確定範圍

• 明確資訊安全管理體系的適用範圍，涉及組織運作的所有部門。
• 確保資訊安全政策的全面性，不僅限於特定部門或功能。

3. 政策制定

• 制定具體、可執行的資訊安全政策，包括：
  • 員工行為準則：明確規範員工在處理資訊時應遵守的行為準則，例如不洩露密碼、不隨意分享敏感資料等。
  • 資訊處理規程：定義資訊處理的流程，包括存取控制、資料傳輸、儲存和銷毀等。
  • 緊急應變計劃：制定應對資安事件的緊急應變計劃，包括通報程序、恢復措施和溝通策略。

二、風險評估

1. 進行評估

• 定期安排
  • 設定一個固定的時間表，例如每季度或每年進行一次風險評估。
  • 確保評估的頻率足夠，以跟進系統和產品的變化。
• 準備工具和資源
  • 確保有適當的工具和資源來執行風險評估，包括專業人員和技術支持。
  • 使用如 ISO 31000 等國際風險管理標準，以確保一致性。

2. 風險識別

• 弱點掃描
  
  • 使用自動化工具來掃描系統中的已知漏洞。
  • 持續更新漏洞資料來源，以掌握最新的資訊安全漏洞。
• 滲透測試
  • 由專業人員模擬駭客攻擊，以識別系統中可能被忽視的漏洞。
  • 測試不僅包括外部攻擊，還應該考慮內部威脅。

3. 風險處理

• 風險避免
  
  • 考慮是否可以通過更改計劃或策略來完全避免高風險項目。
  • 例如，如果某個系統存在嚴重的漏洞，可以暫停使用或關閉該系統。
• 風險轉移
  • 考慮是否可以通過保險或外包等方式將某些風險轉移給第三方。
  • 例如，將資料儲存在雲端服務廠商，以減輕自身的風險。

• 風險接受：
  • 對於某些較低級別的風險，可能需要接受並繼續監控其影響。
  • 例如，某些不太重要的系統可能存在一些漏洞，但風險影響有限，可以接受。 

三、安全設計與開發

1. 整合資安考量

• 初期評估
  
  • 在產品設計階段初期，進行資安風險評估，識別可能的威脅和漏洞。
• 制定策略
  • 基於風險評估結果，制定相應的資安策略和控制措施。
  • 考慮身份驗證、加密、安全通訊等。

2. 使用安全框架

• 選擇框架
  
  • 選擇符合產品需求和業界標準的OWASP或其他公認的安全框架。
  • 持續更確保所選框架具有廣泛的支持和社群。
• 實施指南
  • 根據所選框架，實施具體技術和操作指南來增強軟硬體系統的安全性。
  • 考慮以下方面
    • 身份驗證和授權：實施強式身份驗證機制，縮限存取權限。
    • 加密：對敏感資料進行加密，包括傳輸中的資料與儲存中的資料。
    • 安全通訊：使用安全通訊協議，如HTTPS。
    • 漏洞管理：定期檢查並修補已知的漏洞。
    • 安全測試：進行滲透測試和安全稽核，確保系統的安全性。
• 持續監控與更新
  
  • 實時監控系統狀況，及時更新和修補漏洞以維持最高水平的保護。
  • 與安全社群或組織保持聯繫，了解最新的安全威脅和解決方案。

四、供應鏈管理

1. 供應商審核

• 預先準備（或與外部顧問合作）：
  
  • 整理一份詳細的稽核驗證清單，包含ISO 21434、TISAX等資安標準的所有要求。
  • 確保清單涵蓋供應商的所有關鍵領域，例如資料保護、系統安全和人員培訓。
• 初步評估
  • 檢查供應商的文件和資料，確保其有能力遵守資安規範。
  • 確認供應商是否有相應的資安政策和流程。
• 現場審查
  • 安排專家團隊到供應商現場進行詳細的審查。
  • 檢查設施、人員和操作流程，確保其符合資安要求。
• 報告與改進
  • 提供稽核報告，指出不足之處並給予改進建議。
  • 確保供應商針對稽核內容指出的問題範圍採取具體改善行動，與定期追蹤。

2. 合約條款

• 諮詢法律意見
  
  • 請教法律顧問以確保合約內容符合法規要求且能有效保護雙方權益。
• 定期評估與更新
  
  • 定期（例如每年）對合約進行評估，根據新的資訊安全發展和風險調整相關內容。

五、監控與應對

1. 部署技術措施

• 根據ISO 21434和TISAX的要求，確保所有重要的資訊系統都部署了適當的安全措施，包括但不限於防火牆、防毒軟體、入侵偵測系統(IDS)和入侵防禦系統(IPS)。
• 實施網路分割，將關鍵資訊資產與其他網路隔離，減少整體系統的攻擊面。
• 運用加密技術來保護儲存和傳輸中的資料，特別是對於個人資料和敏感商業資訊。

2. 實時監控

• 建立實時監控系統，這可以透過安全資訊和事件管理系統(SIEM)來實現，以便及時發現並回應任何異常行為或資安事件。
• 定期更新和維護監控系統，以識別和防範最新的威脅和漏洞。
• 確保有足夠的人力來監控安全警報，並對事件進行分析和回應。

3. 應急準備

• 制定包含資訊安全事件響應和災難恢復的綜合計畫，確保在發生資安事件時能夠快速恢復正常運作。
• 定期進行資訊資產的備份，並將備份資料儲存在安全的地點，以防資料丟失或系統故障。
• 定期進行應急演練，確保員工熟悉緊急應變計劃，並能在必要時迅速有效地行動。

監控與持續改進

最後，我們將討論如何通過定期稽核與評估、建立資訊安全文化以及制定與執行改進計劃來長期維持和改進資訊安全控制措施。

一、定期稽核與評估

確保資訊安全措施的有效性並與國際標準如ISO 21434和TISAX保持同步，業者需要建立一套定期的自我評估和第三方稽核機制。包含：

• 內部評估：安排定期的自我檢查和內部稽核，以確保所有安全措施都得到妥善執行，並符合組織的資安政策。
• 第三方稽核：定期邀請外部專業機構進行獨立稽核，這有助於客觀評估組織的資安健康狀態，並提供改進建議。
• 技術測試：進行定期的滲透測試和漏洞掃描，以發現新的或未解決的安全漏洞。

二、建立資訊安全文化與員工培訓

資訊安全不僅僅是技術問題，更是組織文化的一部分。因此建立資訊安全文化至關重要：

• 員工意識：定期舉辦員工資安意識教育活動，確保每位員工都了解他們在資安中的角色和責任。
• 持續培訓：提供持續的資安培訓和教育計劃，幫助員工保持對最新資安威脅和防護措施的認識。
• 鼓勵溝通：鼓勵員工報告任何可疑的活動，並對他們的積極參與給予認可和獎勵。

三、改進計劃的制定與執行

最後，任何有效的資安管理系統都需包含一個持續改進的過程：

• 改進計劃：根據稽核和評估的結果，制定針對性的改進計劃，設定具體、量化的改進目標和時限。
• 跨部門協作：改進計劃需要跨部門的合作，確保從技術、運營到管理層面都能獲得足夠的支持。
• 監測和回顧：實施改進措施後，應持續監測其效果並定期回顧，以確保這些措施能夠達到預期的改進目標。

隨著技術的進步與網路安全威脅的演變，對汽車產業而言，實施國際資訊安全標準已經成為一項關鍵任務。從ISO/SAE 21434的全面性網路安全風險管理到TISAX的供應鏈安全評估，再到ASPICE for Cybersecurity對軟體開發流程的精細監管，這些標準的落實為業界帶來了一系列的長遠益處。它們不僅提升了車輛與乘客的安全，也加強了企業對抗網路攻擊的能力，進一步保護了企業的商業秘密和顧客資料。

此外，隨著全球市場對資訊安全要求的提高，台灣汽車產業業者通過這些標準的遵守與實施，不僅能夠在國際市場中站穩腳步，還能夠為自身品牌建立起信譽與競爭力。這不僅是對當前標準的遵循，更是對未來可能出現的新挑戰的一種準備。

為了維持這些成就，持續改進和靈活適應新挑戰是必不可少的。透過定期的稽核與評估、培養資訊安全文化、以及不斷更新改進計劃，台灣的業者可以保持資訊安全措施的有效性，並迅速適應行業的變化與技術的進步。

結論上，投資於資訊安全的標準落實和持續改進，對於提升台灣汽車產業在全球市場的競爭力，以及對未來發展的可持續性，都是至關重要的。隨著網路安全風險的不斷演進，我們必須保持警覺，不斷學習和適應，以確保我們的技術、產品和服務能夠達到甚至超越國際安全標準。