今天的小故事
面對以產能主義至上的製造產業客戶，竟是如此難以說服客戶資安優先，後來查看相關據報導如下，才驚醒夢中人阿

臺灣身為 OEM/ODM 代工大國，為國內外產業指標大廠之重要供應鏈，乘著數位轉型腳步來提升產能與品質之際，工廠設備、系統開始連上網路，也同步開啟物聯網情境下的資安潛在風險。然而企業資安的發展程度並未跟上腳步，多數製造業都是資安入門生，缺乏資安意識，或是對資安有認知卻不曉得資安如何下手，連基本資通安全流程或管理規章都不具備，極易遭受攻擊；僅5%的企業具備標準作業流程與企業規章，符合如ISO 27001 國際資安標準，但仍難擋進階持續性滲透駭客攻擊(APT)。

僅5%的企業具備標準作業流程與企業規章

(來源：智慧製造下台灣製造業資安3大挑戰-資安人)

聚焦在台灣製造業推動資通安全相關業務的阻力與困難，工研院統計國內200 人以上的製造業結果，前三大挑戰分別是 內部技術能量不足(41.2%) 、公司對於資安投資報酬率缺乏了解(40.0%) 、內部員工缺乏資安意識(33.8%) 等。
 
以往製造業重視生產線產能，設備/產線人員數較高，相關資訊/資管人員數則很少，甚至身兼資安人員職責，在人力與能力都缺乏之下更不會有專責的資安團隊來維運公司資安治理；另外資安投資的回報往往無法量化，公司老闆經常性詢問提案採購的資安設備或解決方案可以增加多少資安防護力，IT 部門乃至配合的資安設備供應商幾乎都無法提出讓公司老闆滿意的答案，對資安投資報酬率的缺乏了解，造成每年資安預算編列皆會被砍。

筆者：到底是老闆不重視，還是老闆先重視業務發展，後面才是資安；又或者是老闆其實很重視，只是不知道如何去跟業務發展相輔相成，既發展業務又發展資安確保業務的安全品質呢?

談治理優先順序，由組織治理(群體共識)及業務目標(長官的)談起

資安治理往往不是長官擺第一的重點，因為直接跟業務績效較無直接關係，甚至會拖累目標績效的達成，因此ISO27014:2013 資訊安全治理中提到，資安目標和策略(政策)要向 業務目標和策略(政策) 對齊一致，應該是1+1 > 2 發揮綜效。

**從ISO27014:2013 資訊安全治理看業務導向的治理流程：要思考「業務」的優先度為? **
合規／風管為優先業務：金融業、政府、非特定公務機關等
營運效能為優先業務：製造業等

從ISO27014:2013 及 ISACA COBIT 5 資安治理流程

NIST建議組織應透過由上而下且持續回饋的資訊安全治理架構降低資安風險

資料來源:簡報資安治理|技術服務中心

由OGSM+A & ISO27014:2013 資訊安全治理 發展資安治理流程之初探

ISO27014:2013 資訊安全治理目標是：

• 使 資訊安全目標和策略 向 業務目標和策略 對齊 (策略一致)
• 為治理者和利益相關者帶來價值 (價值傳遞)
• 確保資訊風險問題得到充分解決 (責任承擔)

也許在談資安治理時，必須先確認是否符合 ISO27014:2013 資訊安全治理目標
的三要點，透過如下三個提問來思考：

• 資安策略/目標 是否看齊 業務策略/目標，是否能夠幫助業務目標 ?
• 是否為治理者(長官／部門主管／其他長官)，其他利益者帶來好的價值 ?
• 是否以評估出達成業務目標所產生的資安風險，並將資安風險控制到可接受等級?

重點是：組織治理的業務優先屬性是哪一種，如果是營運效能為優先，是否能以該角度來規劃資訊安全呢?

由上而下的OGSM+A 搭配 治理層／管理層／維運層

想要看更多的OGSM的範例，請看 Day4的文章。

參考資料：
智慧製造下台灣製造業資安3大挑戰
簡報資安治理|技術服務中心

後記：實在有點 志在不行，好險我的好同事 Kuro 桑不斷砥礪我，使得我不能偷懶。

今天來貼貼kuro桑提的小補帖，結束這回合:
治理：是經營高層的管理作為
管理：是達到目標的一套方法，如：PDCA的ISMS
風險：影響目標達成的不確定因素
戰略（Strategy）：對齊組織的目標，達標的計畫。達成目標的高階方法
風險管理：風險並不是將他消除為零，降低到可接受的風險水平