《 數位韌性及國際架構及指標之探討 》
一、數位韌性(Digital Resilience)
數位韌性:(數位發展部)指的是「透過數位工具,讓臺灣在遇到各種不利情況時,不但能撐得住,還能從打擊中迅速恢復,並從中學習、強化自身體質。」 揭示韌性的內涵,包含:適應、恢復與強化的能力。
數位韌性:是指個體或組織面對數位化的威脅和挑戰時,能夠積極應對、調適和回應的能力;包括:對於網路安全、隱私保護、網路詐騙、網路霸凌等數位問題的認知和應對能力。
更進一步來說,包括:社會韌性、產業韌性與應變韌性。
社會韌性:是確保全民都有意識,並且能守望相助;
產業韌性:則是協助各產業面對資安、供應鏈、疫情等各種挑戰,能強化自身體質,互相幫忙;
應變韌性:則是資通安全,強化資安應變能力,保護政府及關鍵基礎設施。
簡言之,數位韌性是指一個國家、組織或個人對抗網路攻擊與資訊安全等問題的能力。
二、數位韌性的構面
數位韌性的概念在國家發展及企業經營上日益受到重視,許多重要的機構和組織,例如美國國家標準與技術研究所(NIST)和國際標準化組織(ISO),都提出了實現數位韌性相關的概念。
企業可以參考並運用歸納出的5個項目及其指南,作為實現數位韌性起點。
1. 網路安全:
持續改善網路安全措施,保護數位資產和基礎設施,包括防火牆、加密、存取控制和入侵偵測系統。
2. 事件應對:
制定應對計劃,有效檢測、控制和減輕網路事件(如資料外洩或惡意軟體感染)的影響。
3. 備份和恢復:
定期備份關鍵資料和系統,並制定災難恢復計劃,以便在達成更佳的復原目標 (RTO(Recovery Time Objective 系統重啟、回復正常運作,所需花費的時間)與 (RPO(Recovery Point Objective 系統中斷到重啟期間,所損失的資料量))。
4. 測試和監控:
定期進行漏洞評估、滲透測試和監控活動,以鑑別和解決數位系統中潛在的弱點。
5. 培訓和意識:
向員工介紹有關網路安全的理想作法,提高對潛在威脅的意識,並培養重視資安的文化。
三、國際數位韌性架構及指標
英國標準協會(BSI)自2017年起提出「組織韌性指標報告」,依據BS 65000等標準,提供自我診斷和產業標竿分析,針對三大領域於「領導力、人員、流程、產品」共16項指標進行分項量測韌性程度,並可進行產業標竿比較,以及「營運韌性」、「供應鏈韌性」與「資訊韌性」三大領域。
組織韌性為「一個組織能夠預測、準備、應對、適應環境的持續變化,以及突發性的營運中斷,讓組織能繼續生存和繁榮發展的能力」。
營運韌性(Operational Resilience)
- 指組織在面對突發風險、危機或挑戰時,能維持營運不中斷並有效恢復的能力。
- 包含:危機管理、業務持續規劃、資源調度、彈性治理和企業領導。
供應鏈韌性(Supply Chain Resilience)
- 聚焦於跨組織運作關係,確保供應鏈各環節在面對中斷、外部衝擊時能快速復原和維持合作。
- 牽涉合作夥伴管理、多元外包、原料與資訊流暢通、供應鏈風險控管。
資訊韌性(Information Resilience)
- 強調組織對資料與資訊的保護、管理和恢復能力。
- 包含:資安治理、敏感資訊保護、資料備份與還原、隱私合規、數位信任建立等。
- 在數位轉型時,資訊韌性是信任基礎,也是永續發展的核心保障。
https://www.bsigroup.com/zh-TW/Our-services/Organizational-Resilience/2/
經濟合作暨發展組織(OECD, Organisation for Economic Co-operation and Development)發展數位福祉指標(OECD Better Life Index)、數位政府韌性營運,如智慧政府、資安成熟度模型,在全球危機、網路威脅、戰爭、疫情肆虐時,觀察國家恢復速度與資安防護成效。
歐盟《數位營運韌性法案》(DORA, Digital Operational Resilience Act),2025年1月17日已生效。針對金融業,要求組織必須在5大關鍵領域強化營運:資訊與通訊科技風險管理、資安事件通報、韌性測試、第三方風險管理,以及資訊分享。這些要求構成了安全且靈活的金融生態系統基石,使其能有效因應動態的威脅環境。
主動性策略,如持續性測試、強化第三方監管和完善的事件通報機制,不僅能確保符合 DORA 法規,更能提升組織的資安防護能力與整體營運韌性。
|
架構類型 |
主要構面與指標 |
評估方式 |
|
BSI 組織韌性指標 |
1.領導力: 領導力、願景與目標、聲譽風險、財務管理、資源管理 2.人員 : 企業文化、社會參與、意識與培訓 3.流程 : 一致性、治理和當責、營運持續、供應商管理、 資訊與知識管理 4 .產品 : 地平線掃描、創新、適應能力 |
1-10分量表, 可按產業標竿比較 |
|
NIST 資安框架 網路安全與韌性 |
1.辨識(Identify):資安治理與識別 2. 防護(Protect):資安防護措施 3.偵測(Detect):威脅偵測機制 4.應變(Respond):事件回應流程 5.復原(Recover):災難復原與備份 |
108項控制措施, 資安成熟度分級 |
|
OECD 數位政府韌性 |
1.數位設計(Digital by design) 2.數據驅動(Data-driven public sector) 3.政府平台(Government as a platform) 4.使用者導向(User-driven) 5.主動服務(Proactiveness) 6.開放透明(Open by default) |
資料分析與 同類國家比較 |
|
歐盟 DORA 金融營運韌性 |
1.資訊與通訊科技風險管理 2.資安事件通報 3.韌性測試 4.第三方風險管理 5.資訊分享 |
--- |
四、台灣數位韌性的政策推動
數位發展部以「強化國家數位韌性」為施政重點,強化通訊、網路資安、政府數位治理及產業基礎環境,並結合多重網路備援,如衛星、海陸空備援等,來應對極端危機。
數位發展部數位產業署的「RISE旭升計畫」,以韌性為主軸,推動整合、資安、賦權公私協力,提升全民數位防護能量。
- 「R」代表「韌性」(Resilience)、
- 「I 」 代表「整合」(Integration)、
- 「S 」代表「安全」(Security)、
- 「E」 代表「賦權」(Empowerment)。
------------------------------------------------------------------------
1.(2023)數位韌性這樣做:5 大構面與實例,IThome
https://www.ithome.com.tw/pr/157735
2.BSI(2021)2021年組織韌性指標報告
https://www.bsigroup.com/zh-TW/Our-services/Organizational-Resilience/2/
https://mlearn.moe.gov.tw/TopicArticle/PartData?key=11090
5.WSC (2022)企業資安成熟度:數位韌性與持續營運關鍵https://tws.twcc.ai/%E4%BC%81%E6%A5%AD%E8%B3%87%E5%AE%89%E6%88%90%E7%86%9F%E5%BA%A6%EF%BC%9A%E6%95%B8%E4%BD%8D%E9%9F%8C%E6%80%A7%E8%88%87%E6%8C%81%E7%BA%8C%E7%87%9F%E9%81%8B%E9%97%9C%E9%8D%B5/
- 識別 ( Identify ):建立組織規則以管理系統、人員、資產、資料和功能的網路安全風險。
- 保護 ( Protect ):建立和實施適當的安全措施以確保重要服務的運行。
- 偵測 ( Detect ):制定並實施適當的作為以識別網路安全事件的發生。
- 回應 ( Respond ):對偵測到的網路安全事件,規劃並實施適當的行動。
- 復原 ( Recover ):制定並實施適當的措施以修復因網路安全事件受損的功能和服務。
6.資安人(2024)DORA 新法規上路!歐盟金融機構須加強網路韌性
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11479
7.林裕洋(2023)數位署 RISE 計畫 驅動產業轉型,CIO Taiwan
https://www.cio.com.tw/digital-department-rise-plans-to-drive-industry-transformation/
https://moda.gov.tw/digital-affairs/digital-service/dv-survey/8557
https://www-api.moda.gov.tw/File/Get/moda/zh-tw/0JTnEO94F615EUZ
國家數位發展研究報告由四部分組成,
第一部分是「國際數位發展評比報告」,透過摘錄六本於2019年至2022年期間發布之最新國際數位發展相關報告,說明國際現況;
第二部分「臺灣數位發展現況」彙整調查、次級或開放資料等多元資料,說明我國各指標目前發展情形;
第三部分是「臺灣與國際數位福祉比較」,針對我國「數位發展指標架構」可與OECD相比較的部分進行比較,著重呈現臺灣跨年調查數據的相對位置變動;報告
第四部分則為「政策建議討論」,擇定六個與疫情相關或跨年變動明顯的數位轉型現象做重點檢討,包含「資深公民網路近用」、「數位金融」、「就業」、「遠距醫療」、「資訊安全」及「公私協力」等六大議題。
9.112年數位發展調查
https://moda.gov.tw/digital-affairs/digital-service/dv-survey/6635
https://srda.sinica.edu.tw/search/metadata/detail/AE010020
本調查以居住於臺灣22縣市且年滿12歲之本國籍人口為訪問對象,自112年3月1日至112年4月19日進行,採用電腦輔助電話訪問系統(CATI)進行市話及手機雙底冊隨機抽樣調查。
電話抽樣調查以住宅電話及手機用戶名冊為抽樣母體,為確保雙底冊母體不重疊,手機抽樣僅過濾唯手機族進行訪問,合計完成15,081份有效樣本。
在信賴水準為95%的情況下,其抽樣誤差介於±0.8%之間。
調查發現,12歲以上網路族最近三個月最常接觸的前2項網路活動類型仍是即時通訊(96.5%)與網路影音娛樂(89.4%)。趨勢顯示,除了行動支付、網路銀行這兩項在疫情期間使用率上升的應用,目前仍呈上升走勢,使用率較111年略增2.2~2.7個百分點外,我國12歲以上網路族的網路使用習慣相當穩定,使用率無明顯變化。
做為「112年數位發展調查」的補充,特規劃兩個獨立次調查:
一、「112年數位發展次調查(一):資訊素養、資安與假訊息」,
旨在評估民眾資訊安全防護情形、網路霸凌及假訊息散布等議題,以利指標資料取得及調查之順利進行。
二、「112年數位發展次調查(二):疫情期間的家戶數位整備度及工作就學情形」,
主要從民眾的網路準備度評估COVID-19 疫情對臺灣數位發展的影響。
10.OECD Better Life Index
https://www.oecd.org/en/data/tools/oecd-better-life-index.html
11.(2021)國家數位發展指標體系轉型研析,台灣經濟論衡 Taiwan Economic
Forum,2021 December|冬季號| Volume
19, Number 4
https://www.managertoday.com.tw/columns/view/70821?utm_source=Facebook&utm_medium=text_post&fbclid=IwY2xjawMtFxxleHRuA2FlbQIxMABicmlkETFGSVQ1bzVxUEE3aVJBNTd1AR7wHRPCdvzAMSJ4pxmcKVhlrs3wEjbovztEQLNO3lKaRi7pOoWHb3Qkry0XrA_aem_TWOJih0OqcP8nkUrE4WUFA?utm_source=copyshare
沒有留言:
張貼留言