工業技術研究院 資訊與通訊研究所 張韶恩 雷穎傑

資安評級是可約束供應鏈合作的方式，有許多國際組織和行業協會制定了供應鏈安全標準，例如ISO／IEC 27001（資訊安全管理系統）。

前言

隨著企業提升數位應用與能力，其面臨的資安風險也隨之急劇上升。根據Fortinet威脅情報中心的《2024年OT與網路資安現況調查報告》，31％的企業在其營運技術（Operational Technology，OT）環境中曾遭遇超過六次的入侵事件，這一數據較2023年顯著增加11％，顯示網路攻擊活動的頻率和強度正在快速加劇。此外，Cloudflare發布的《2024年第二季DDoS威脅報告》指出，分散式阻斷服務（Distributed Denial of Service attack，DDoS）攻擊的年增長率達到了20％，並且攻擊的規模與強度均呈現持續上升的趨勢。更令人擔憂的是，部分攻擊行動甚至是由國家級或國家支持的威脅行為者所發動，這進一步加劇全球網路安全的挑戰。實際受駭客攻擊勒索且不在通報內的數字更不僅於此，以中小企業為主的台灣經濟市場，如何在有限資源下為自己建構資安防護措施，才能在威脅攻擊不斷升級的環境中維持營運韌性，減少潛在損害。

企業資安評級的特性與挑戰

維護資訊安全風險、確保組織營運持續性，需要從風險評估、政策制定、技術防護、員工培訓等多方面著手。首先，須定期進行資安風險評估，辨識潛在威脅和弱點，並制定相應的資安政策和標準。其次，部署防護措施，如防火牆、入侵偵測，並定期更新軟體，修補漏洞。同時，提升員工資安意識，加強對員工的資安培訓，降低人為因素所造成的風險。最後，制定應對資安事件的策略，確保發生事件時能夠及時、有效的應對。以上都是資訊安全風險管理和防護的基礎。然而，因應資通訊軟硬體的推陳出新，漏洞相應而生，以及駭客的攻擊手法不斷升級，企業如何有效的風險管理，變成當今重要的課題。本文旨在藉由「企業資安評級」機制的建立，提升企業資安風險管理意識，降低企業因資安事件所造成的營運中斷、財務損失與信譽受損風險。

n 企業資安評級服務的優點
隨著數位應用與技術的快速發展，全球企業在享受效率與創新紅利的同時，也面臨日益嚴峻的網路安全威脅。資訊安全已不再僅是技術議題，而是企業經營策略的重要一環。不論是資訊科技(Information Technology，IT)還是營運技術(Operation Technology，OT)系統，都需建立完善的安全防護措施，以確保在數位經濟中的穩定運行。為縮小企業資安防護與實際需求的差距，本團隊建立「企業資安評級」機制，將國際標準與供應鏈資安查核指標轉化為可量化的評估項目，並依評級結果將資安成熟度分為A至E五級，協助企業全面掌握防護現況並有效管理供應鏈風險，資安評級服務的優點包括：

1 風險維護可視化／可量化治理
「量化」風險評估是反映即時狀態與擬定策略的第一步！本文藉由自動化工具並結合AI技術，透過可視化／可量化的風險治理，提供即時資訊安全監控輔助。

2 資安升級方向和決策建議
提供中小企業免付費資安評級服務，評量後顯示具體改善建議、風險係數、與參考標準，使企業可快速掌握資安防禦現況，幫助資通訊主管進行內部溝通。

3 減少資安投入成本，讓中小型企業也能適用
依據NIST SP 800-171 [1]、NIST SP 800-115、NIST SP 800-207、ISO 27001等多項國際標準工具，團隊提供企業中文化資安評級服務，包含企業資安評級問卷評級，和外部曝險評級，資源有限的中小企業可免付費線上申請使用。

n 企業資安評級面臨的挑戰
企業在進行資安評級時，面臨的挑戰往往來自多層面的壓力與限制。首先，評級本身需要依賴龐大且準確的數據來源，但在實務上，企業的資安狀況並非所有資訊都能對外公開，特別是涉及核心營運或客戶資料的部分。這種資訊不對稱，可能導致外部評級機構僅能透過間接跡象或公開漏洞資料來推估，進而影響評級的準確度。再者，評級標準本身可能存在差異或偏頗。不同的評級機構採用的演算法、指標權重、資料來源各不相同，導致同一企業在不同平台上的評級結果明顯差異。綜整企業於資安評級所面臨的挑戰，包括:

1 評價項目繁多
根據國際標準，在有限的控制範圍內，條文繁多，要轉換成問卷評級的方式，或是利用曝險掃描工具，又要確保提供項目完整，並於評級項目的數量上需取得一個可接受的平衡。

2 問卷式評級有主觀判斷
問卷式評級有主觀屬於自評的評估方式，通常包含一定程度的主觀判斷，回答上依賴填答者的認知和誠實度。同時，不同角色（IT、資安專職人員、管理階層）回答可能有所差異，很多問題無法即時驗證，例如是否真的有落實「定期備份」或「員工資安訓練」，容易出現過度樂觀或保守的回答。

3 掃描式評級需時時更新
掃描式曝險評級則主要用於主動發現被評估企業的對外資產，例如網站、應用程式、雲端服務等，並識別潛在的安全風險。曝險評級需不定期增加涵蓋範圍以確保完整性，其中風險指標更新，如新公布的Common Vulnerabilities and Exposures(CVE)、新公開黑名單等，皆需定期更新掃描模組。

企業資安評級類別

政府為推動國內產業資安能力的全面提升，參考美國國防部推出的網路安全成熟度模型認證（Cybersecurity Maturity Model Certification，CMMC），以及美國國家標準技術研究院（National Institute of Standards and Technology，NIST）標準，建置國內首套針對IT與OT整合的資安自評系統。明確定義各階段資安成熟度，並設定相關規範與標準，以進一步擴展適用範圍至中小型企業。同時，為考量國內中小型企業的需求，讓更多企業能夠適用此標準，透過「企業資安評級」系統的推廣，全面提升國內企業的資安意識與實務能力，進一步落實資安聯防的目的。資安聯防機制可促成企業間分享安全威脅情報，共同抵禦外部攻擊，有效降低單一企業面對資安威脅時的孤立無援狀態，並有助於建立更安全的數位生態系統。幫助企業從「被動防禦」轉向「主動防禦」，讓企業能夠預先發現並修復潛在的安全漏洞，降低受到攻擊的風險。

n 企業資安問卷評級
SECPAAS(Security platform as a service)企業資安問卷評級，係由資通所團隊提供之「企業資安評級」服務，旨建立一套可量化、可比較的資安評級機制。將國際標準與供應鏈資安查核指標轉化為可量化的評估項目，協助企業達成參考美國NIST SP-800-171 、NIST SP 800-207、ISO 27001 [2]等多項國際資安評級標準的系統。評級結果將國內企業資安成熟度分為A至E五級，企業本身可全面掌握防護現況及有效管理供應鏈風險。評級系統涵蓋五大核心能力如下：

1. 防護能力：確保企業系統免受攻擊。
2. 復原能力：在受到攻擊後能夠快速恢復。
3. 回應能力：面對資安事件時的應變處理能力。
4. 偵測能力：能夠及時識別潛在威脅。
5. 識別能力：提升企業對各種資安風險的認識與評估能力。

透過資安評級服務，企業能夠獲得專業的資安評估，進一步提升資安防護的實力，建立更穩固的產業資安基礎。

n 外部曝險評級
外部曝險評級(自動化資安評級解決方案)，係由資通所團隊提供的另一套服務，使用類掃瞄式的工具，協助企業透過全面掃描企業在網際網路上公開的官方網站、雲端服務等資產。只需輸入主網域名稱，即可取得檢測報告，企業即可迅速掌握自身的網路防護邊界，找出可能被遺漏或未登記的資產。從網站服務、IP信譽、網路服務、網域系統等資安檢測範圍 [2]，以駭客的觀點進行模擬攻擊檢測，協助企業更快速精準地識別並修復資安弱點，從而有效降低風險。多維度且不同的資安面向進行評估，不僅可滿足資安需求，同時亦提供即時、快速、系統性的監控與評估。資安曝險檢測範圍涵蓋：

1. 網路通訊埠安全（Network Security）：掃描常用通訊埠，評估通訊安全性。
2. DNS健康度（DNS Health）：分析域名系統的配置與穩定性。
3. IP地址信譽（IP Reputation）：檢查企業網域的信譽狀況。
4. 網站應用安全（Web Security）：審查網站應用程式安全漏洞，確保企業網站的安全性。

資安評級亦是可約束供應鏈合作的方式，有許多國際組織和行業協會制定了供應鏈安全標準，例如ISO／IEC 27001（資訊安全管理系統）、IEC 62443（工控系統安全）等。台灣於2018年6月6日發布《資通安全管理法》，明定施行細則、責任等級分級辦法、事件通報與應變、資安維護計畫稽核及情資分享等規範。企業需要了解並符合這些標準，確保其供應鏈符合國際認可的安全規範，以保有合規供應商資格。

台灣產業資安評級結果分析

為填補企業資安防護與實際需求之間的差距，數位發展部數位產業署委託團隊推動「產業資安強化推動工作小組（Special Interest Group，SIG）計畫」，SIG的目標是透過與各公協會合作，建立資安強化推動小組，除了使用企業資安問卷評級和外部曝險評級，進一步和資安廠商合作輔導和協助公協會會員公司進行內部資安評估，並依評估結果提出改善建議，以降低潛在風險，提升國內企業的資安成熟度。

整體來看，金融、半導體和科技業的資安能力處於領先位置，展現出良好的防護、應變與恢復能力；而製造業、餐飲業及部分傳統服務業在識別、偵測及復原能力方面仍有顯著提升空間（圖1）。透過政府、公協會的政策推動，結合企業內部資安意識的提升與技術工具的導入，預期未來各行業的資安防護水準將能逐步達到更高的安全標準，有效抵禦日益複雜的網路安全威脅。

圖1 資安評級問卷在各行業分析

網站應用安全是產業最大的曝險指標，整體得分相對較低，分數區間約在78～92分，顯示網站應用層的安全風險較高（圖2），可能與過時的應用系統、未修補的網站應用程式漏洞、API曝險等問題相關。需要強化網站應用的資安管理，如：定期進行網站應用程式安全測試（網站應用防火牆、弱點掃描、滲透測試），修補已知漏洞（CVE），確保API、伺服器端安全配置，建立零信任架構，強化存取控制與異常行為監測。

圖2 企業網站應用安全普查評分偏低

公司規模（無論是員工人數還是資本額）也顯著影響企業對資安的重視程度與實際表現（圖3）。大型企業在資安方面的投資通常能帶來較高的評級分數，而小型企業則因資源有限成績稍低，表現相對薄弱。員工人數在50～150人之間，資本額介於2000萬至1億新台幣的中型企業，則處於資安投入與管理複雜度之間的平衡點，資安評級相對最低。推測中型企業處於資安投入不足與管理複雜度增加的「夾心層」，其中進一步調查有意料之外的發現，認為參與資安評級能顯著提升企業對資安防禦的重視程度，特別是在大中型企業中成績高者更為顯著。

圖3 員工人數愈多，評級分數愈高，中型企業最低成了「夾心層」

國產資安解決方案與市場機會

台灣中小企業面臨資源有限與資安人力不足的挑戰，為此，國產資安產品若能聚焦於「落地、輕量、模組化」的特性，將更容易導入低資安成熟度的產業環境中。為加速導入與推廣，團隊建議可從以下三個層面著手：

1 強化低分行業的資安培訓與支援機制
政府與公協會應聚焦於資安能力相對薄弱的行業，提供針對性資安訓練與顧問服務。特別是在威脅識別與異常偵測等面向，導入具教育性質的工具或評估平台，快速協助企業理解自身風險，建立初步防護能力。同時，透過推動參與資安評級計畫，讓企業在診斷結果中獲得客製化建議，協助國產資安產品的實地導入與驗證。

2 提升資安演練頻率與災後恢復能力
針對企業實務作業流程，導入簡易部署的資安演練模組與復原計畫工具。舉例來說，可透過「社交工程模擬平台」提供釣魚郵件演練，或採用標準化的「災後復原SOP工具包」，協助企業強化應變協調機制，制定有效的備援與復原計畫，確保系統在遭受攻擊或災難時能快速恢復運營。

3 導入自動化安全工具
針對缺乏專職資安人員的企業，應推廣介面簡易、成本可控的國產端點偵測（endpoint detection and response，EDR）與事件管理（Security Information and Event Management，SIEM）平台，協助企業建立「即時監控—異常通知—快速應變」的自動化流程。國產產品在語言介面、合規性與在地服務支援上皆具備優勢。

結論

資安評級資料顯示，不同產業的資安防護水準存在顯著差異，其中金融業相對安全，傳統製造與部分醫療相關產業風險較高。資安評級能顯著提升企業對資安防禦的重視程度，特別是在大、中型企業中更為顯著。除了提升資安能力與減少風險外，評級也能帶來品牌形象與商業信任度的正面效應。然而，小型企業在參與評級時仍面臨資源不足的挑戰，需更多的外部支持與政策引導。未來高曝險產業應優先考慮導入ISO 27001、提升網站與網路基礎設施的安全性，以降低外部攻擊成功機率並保護高機敏性資產。由於台灣產業資安意識正在快速提升，政府的政策與補助更為資安產業注入動能，企業對資安檢測、端點防護、身分識別等需求增加，推動本土資安技術與工具發展，建立可信賴的資安評估交換機制將提升產業於國際供應鏈安全與信任。

參考文獻

[1] C. E. PASCOE, "Public Draft: The NIST Cybersecurity Framework 2.0. National Institute of Standards and Technology,," 8 August 2023.
[2] G. N. M. P. a. M. S. G. Culot, “The ISO/IEC 27001 information security management standard: literature review and theory-based research agenda,” The TQM Journal, pp. , vol. 33, no. 7, pp. 76–105, , 2021.
[3] E. C. a. T. W. Cheng, “Institutional strategies for cybersecurity in higher education institutions.,” p. 13.4: 192, 2022.