上週到新竹某個高科技製造業公司,擔任 ISO 27001 Lead Auditor 的課程講師,現場有參與課程的學員問到,對高科技製造業者來說,需要考量的資安管理重點是什麼?
一般來說,高科技製造業的資安管理,至少需要涵蓋以下三個層面:
1. 生產製造:建立機台相關控制系統的存取控制、網路管理及端點裝置防護的流程;
2. 內部系統:實施基礎設施的實體安全管理、強化內部系統安全 (ex. MES, ERP) 及資料保護的控制措施;
3. 外部服務:針對供應商和供應鍊的安全管理,以及使用外部提供的新興科技服務 (ex. Cloud, AI) 的管控機制。
另外,除了定期實施一般人員的資安訓練,防範社交工程和釣魚郵件的威脅,強化最高管理階層的資安認知也是必要的工作,唯有最高管理階層具備資安風險管理的觀念,才有辦法帶領組織和員工落實資訊安全的要求。
沒有留言:
張貼留言