資安專家籲 檢視IT承包商能力

隨著資訊技術深入整合於企業、教育和政府運作中，積極的資訊安全風險管理已變得至關重要；台灣資安產業發展協會祕書長沈家生提醒，對於任何委託外部IT公司開發資訊平台或系統的企業、學院或政府機構，須確保承包公司謹遵資安管理政策，並擁有經認證的安全防護能力。

駭客猖獗，國內外遭到勒索案件頻傳，受害者遍及政府機關、學校、企業等公私立單位。專家直接點出，要避免成為駭客勒索對象，IT承包公司的防護能力很重要。

沈家生進一步解釋，委託方應要求第三方廠商出示其資安能力證明，包括安全能力認證、供應鏈安全證明；假設第三方供應商將任務分包給其他實體，下游供應商同樣有責任展示其供應鏈安全管理措施。

目前半導體供應鏈管理就是模範生，規定下游供應商必須定期接受第三方資安公司的安全評估、驗證；即使是選擇第三方資安公司時，也要確保具政府認可的資安能力登錄機構，以防止資安專業性不足或驗證不充分。

為了避免敏感資料例如專案細節、原始碼及個人資訊的外洩，委託方在專案交付前，也必須要求全面資安評估，包括但不限於弱點掃描、原始碼審查以及滲透測試。

規模較複雜且包含網路設備及資安解決方案的建置專案，如行為入侵與攻擊演練（BAS）以及紅隊演練（Red Team），以全面評估和加固組織的整體防禦能力，確保在面對駭客時可以「魔高一尺、道高一丈」。