29. Day29：永續報告書資安成熟度第三方驗證
    筆者在整理前面26大企業永續報告書的資安做為時，發現企業的邏輯是，資安就是ISO27001，第三方認證機構通常就是認證ISO27001證書的有效性，另外就是有沒有依照GRI、FASE、RE100的標準做對應表。有的比較認真的認證機構會去查核像是離職、育嬰員工人數、有毒廢棄物排放數量等等。但資安成熟度是一片空白。
    要知道，從內外部稽核找缺失，然後改善，這樣的速度遠遠不及駭客找漏洞然後攻擊的速度。雖然企業有建置SOC（監控中心），但是缺乏對自身資安能量的全面檢視。
    筆者引用CMMI的模型（Capability Maturity Model – Integrated）初始（Initial）、已管理（Managed）、已定義（Defined）、量化管理（Quantitatively Managed）、最佳化（Optimizing）五個等級 。
    等級 實踐
    Level 1
    初始（Initial） 在這個等級中，組織的過程通常是不穩定的，並且可能是隨意的。項目的成功主要依賴於個別的人員技能和努力，而不是組織過程的穩定性。
    Level 2
    已管理（Managed） 在這個等級中，組織開始實施基本的專案管理實踐，以確保項目能夠按時交付、在預算內運行。組織開始關注過程的管理和改進。
    Level 3
    已定義（Defined） 在這個等級中，組織確立了一個已定義的軟體工程過程，並將其文檔化。組織開始強調過程的一致性和標準化，以提高產品的質量和可預測性。
    Level 4
    量化管理（Quantitatively Managed） 在這個等級中，組織開始收集和分析數據，以量化和管理其過程績效。這使得組織能夠更精確地預測項目的結果，並持續改進其過程。
    Level 5
    最佳化（Optimizing） 在這個等級中，組織不斷地追求卓越，通過過程改進來實現最佳化。組織利用量化的數據和經驗教訓，以不斷優化其工程過程，以達到更高的效率和品質。

目前台灣大部分的企業，從永續報告書來看，已經有ISO的公司位於Level3，建立了文檔。少數企業如欣興電子已經到了Level 4，量化管理，有豐富的數據佐證其資通安全的現況。而整份永續報告書完全不談資安的，則是Level0，例如鴻儒企業。
我：請談談資訊安全在永續報告書中的關鍵作用
ChatGPT
資訊安全風險對永續報告的影響： 探討資訊安全漏洞和數據外洩如何可能損害組織的聲譽，並如何威脅到永續報告的可信度。
資訊安全和綠色供應鏈： 分析資訊安全對永續供應鏈的影響，包括數據安全、供應商風險評估等方面。
可信度和第三方驗證： 探討如何確保永續報告書的可信度，包括第三方驗證的資訊安全標準。
資訊安全最佳實踐： 提供有關在永續報告撰寫和共享過程中實施的資訊安全最佳實踐，包括加密、訪問控制、風險評估等。
法規合規性： 討論與資訊安全相關的法規，並探討如何確保永續報告符合這些法規。
這個議題將探討兩個重要領域之間的交集，即永續發展和資訊安全，並強調在撰寫和共享永續報告時確保數據的安全性和可信度的重要性。這對於那些關心企業永續性並希望確保報告的品質和安全性的專業人士來說可能會很有吸引力。

請讀者注意

1. 本系列中所提到的永續報告書均為公開資訊，本系列引用的目的僅為學術教育，讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾，僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架，其最新版本的修正還是要以該組織發布為準。
2. 本系列中提到的紅隊攻擊手法和「從新創看資安」，裡面所提到的攻擊，無論是POC（概念驗證）或是工具介紹，紅隊都是指有和企業簽約，在取得許可下協助做安全測試的資安成員，其不會造成企業實質損失，僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。