一、 新兴科技应用下之资安事件与发展趋势
近期许多国内外知名企业传出信息安全事件，如某国内咖啡连锁业者传出近5千笔客户资料遭黑客入侵、台湾网购平台持续传出个资外泄诈骗案件、匿名者组织（Anonymous Asia）为声援反课纲宣布将瘫痪台湾民生网站、美国政府人事局和内政部遭黑客入侵、美国国税局超过10万纳税人个人资料外泄、美国第二大医疗保险公司Anthem资料外泄事件及日本Sony黑客入侵事件导致员工电邮，公司高阶管理人员薪酬和尚未发行电影拷贝外泄，再再显示没有百分之一百安全之事实。

有别于传统攻击方式，黑客攻击手法也随着新兴科技环境演变而更加精进，如进阶持续性渗透攻击 (AdvancedPersistent Threat, APT)之攻击者往往都是具相当规模且有组织系统的黑客集团，针对特定的攻击对象设计专属的攻击策略，透过长时间且持续性的潜伏及监控，窃取其所需要的特定国家安全或商业机密等信息。重大信息安全事件动辄影响民众权益外，更影响企业长久来辛苦建立之商誉。

企业基于全球化布局、行动化、互联网、物联网、云端及大数据应用下，随着数字网络平台引领业务发展，对于仰赖科技应用甚深的产业，安全、系统质量与可用性依存程度更高，同时各种动机的网络威胁日增，持续精进的恶意软件与入侵手法，使企业的信息安全能力定位与管理面临大幅挑战。

二、 新兴科技资安风险因应与防护
面对新兴科技之资安风险，企业需要由传统被动式单点的资安防护，转向为积极主动防范且全面性整合观点进行资安防护，并建立资安情报(Cyber Intelligence)之预警分析与管理能力，透过事前搜集监控、事中侦测应变及事后鉴识分析之强化整体信息安全成熟度。

(一) 事前侦测阶段
1. 日志与威胁情报搜集
随着数字网络平台引领业务发展，对于仰赖科技应用甚深的产业，安全、系统质量与可用性依存程度更高，同时各种动机的网络威胁日增，持续精进的恶意软件与入侵手法，使企业的资安能力定位与管理面临大幅挑战。建议企业需要由传统被动式单点资安防护，转为全面性积极主动防范，建立外部资安情报(Cyber Intelligence)搜集与分析管理能力。
A. 建立组织资安风险轮廓 (Cyber Risk Profile)以及决定资安情报的收集方向
收集关于组织的数据，来建立并持续更新组织独有的资安风险轮廓 (Cyber Risk Profile)，以达到了解组织所面临的资安风险。
B. 利用合适的管理/平台/科技收集资安数据
将外部资安数据以及内部信息架构所接受之攻击或是潜在弱点，统一汇整至资安情报中心。
C. 准备资安原始资料以供后续分析
透过内部不同来源资安设备警讯及外部威胁情资，透过数据正规化或索引机制、汇整及分析并提供实时资安通报、资安事件需求单、资安管理报表及资安报告。
D. 分析资安原始资料以获得有意义的资安情报
协助组织专注在处理营运风险，以技术为本的资安资料及与营运相关的资安情报。
E. 以客制化的管道提供组织 ”可执行的资安情报” (Actionable Cyber Intelligence)
在单一平台, 以组织及用户所定义的方式，提供所需的实时与历史信息安全事件数据、报表、及相关情报，协助组织执行资安管理活动。
2. 日常监控
结合外部资安情报(Cyber Intelligence)预警分析与管理能力，及逐步扩大内部稽核轨迹留存的种类，利用数据分析(Data Analysis)及异常行为规则建置(人、事、时、地、物之异常指标)，得以回望过去(分析过往发生什么事)、洞悉未来并提出预测(告警机制模型)，以期设计异常行为之情境察觉系统，以风险计分模式为概念，呈现风险仪表板，实现企业级风险管理机制。
(二) 事中响应阶段：
于事中响应阶段，建议企业应透过通报程序与应变计划建立，定期进行资安黑客攻防演练，以确保同仁皆有遵循的一致性作法及步骤、得迅速通报及进行紧急应变处置、提升同仁信息安全事件之应变响应能力及强化人员危机意识，相关重点应包含以下项目：
1. 建立应变组织：
企业应明确定义相关权责单位，当事件发生时，人员能依其职务进行处理，并于适当时机召开处理讨论会议，使会议决策能有效下达至各单位，进行危机应变处理。
2. 规划事件应变处理流程：
应依据事前规划的事件等级，由相关人员进行通报与处理，并考虑证据保全机制，另于事件结束后适当地召开检讨会议，以记取相关教训并彻底改善。
3. 规划定期资安事件与黑客攻防演练流程：
平时应透过模拟真实攻防与演练方式，以黑客攻防与调查分析演练平台方式，培育所需之理论与实作兼具的资安人才并提升同仁信息安全事件之应变响应能力。
(三) 事后鉴识分析阶段：
企业于应变止血后，对于相关的情况进行细部调查而可能进入到诉讼阶段时，应留存信息安全事故之相关纪录、日志，该纪录应妥善保存、确保完整、及最小更动，该纪录应可被验证，以确认其证据能力。良好规划过的数字鉴识机制能有效协助企业在此部份的运作；以下就几个面向，提供企业规划数字鉴识管理机制参考：
1. 建置内部鉴识团队
应根据企业内部可能第一线接获通报或发现事件之人员，教育其应变时，应小心处理过程可能对证据的影响；此外，实际执行证据搜集之人员，其应执行的程序、工具的操作方式等，都应提供对应的训练，以使其能妥适地因应与处理。
2. 数字鉴识标准作业程序拟定
由于现在国内的标准程序尚未确认，因此建议应参考数字鉴识相关国际最佳实务所提之作法进行整体规划，如ISO/IEC 27037现场证据识别、搜集、撷取与运送国际标准及ISO/IEC17025国际实际室标准(数字鉴识项目)，使其能符合国内外要求，在国内数字鉴识相关程序尚未标准化前，对于法官将有很大的参考价值。
3. 数字鉴识搜证及分析环境建置
此部份端看企业能负担之其情况进行购置，但若碍于成本考虑，其实坊间也有不少免费使用或价格低廉的鉴识分析工具可供参考，建议至少可购置第一线人员数字证据保全工具及硬盘鉴识复制设备。
4. 数位鉴识演练机制规划
在人员训练足够、程序完整、工具齐备的情况下，最好透过不同情境的演练，以增加人员数字证据保全处理能力，以使相关流程运作能更加顺畅及合乎法律原则。
三、 未来资安人才培育刻不容缓
企业为采取事前防控监控、事中侦测应变及事后鉴识分析，依据所面对之信息安全风险投入资源、培育信息安全人才与建立专业团队为即刻起需正视之议题，依据勤业众信科技风险暨资安智能中心与美国州际首席信息长国家协会所进行2014年美国政府CISO资安治理调查报告内容显示，目前云端、行动与物联网应用下威胁日增，如何找到适切之资安人才，因应及展示信息安全投资绩效，变成目前各企业皆需面临之挑战。

笔者的观点来看，建议企业从以下面向建构因应对策：
1. 与业务沟通资安风险，以争取预算
2. 评估资安投资与管控有效性
3. CISO位阶、职责强化与标准化
4. 建立信息安全协调单位与团队
5. 与人事单位协同培养信息安全专才
6. 信息安全委外策略运用
7. 建立资安情资分析与因应机制
8. 定期进行信息安全健检
因此建议参考相关指引，事前搜集监控、事中侦测应变及事后鉴识分析之成熟度指标，资安人才除了传统透过课程培育，更应加强模拟攻防与实际事件、鉴识处理演练，以有效协助企业培育理论与实作兼具的资安部队，确保组织新兴科技创新运用与商业模式转型运作之风险管理。

四、 结论
企业应建立事前主动搜集与监控机制及足够之应变措施准备，使人员知道事件发生时应如何进行初步判定与处理，通报适当主管与人员进行损害控制，有效与客户或大众沟通避免企业形象的受损，甚至由数字鉴识团队进驻协助调查，并在事件调查至一定程度后，请教相关律师可能的诉讼议题，并拟定诉讼策略。
如此，从事前防控、事中应变及事后处理等角度，以风险管理的思维完整规划适合组织的作法，秉持「勿恃敌之不来，恃吾有以待之」精神，持续完善各该机关及所属之信息安全工作，并落实在日常各项作业中。才能使企业在现今充满威胁的大环境下，仍能稳健地营运下去。