大家可能都有聽過「ISO 27001」,這是國際間資訊安全管理最重要的認證之一。說起來台灣的成績很漂亮,我們全國目前拿到這張證照的企業數量排在全球前七名,亞洲更是名列前茅。
但你知道嗎?最近卻爆出不少政府機關、學校、甚至工業區裡的監視器、路由器,竟然是中國製的,而且部分裝置還會自動把網路流量傳回中國伺服器。這消息一出來,讓不少資訊圈的人心裡一驚:我們是不是太過重視「認證數字」,反而忽略了實際的安全漏洞?
🎯「拿認證」≠「真的安全」
先說清楚,ISO 27001 是一個好東西,它可以幫助企業建立起資訊安全管理制度,包括風險控管、權限管理、備援機制等等。但問題是,拿到認證不代表你真的安全。這有點像是學校裡拿滿分,卻完全不會實戰操作。尤其在公部門或大型組織中,如果把「有沒有通過認證」當作安全的終點,而不是過程,那風險就大了。
例如:
- 有機關採購了中國的監控設備,卻沒檢查它的「韌體版本」是否安全。
- 有些採購標案根本沒要求供應鏈透明度,只要便宜好用就先上了。
- 更誇張的是,有設備裝好後根本沒人管,它每天都在默默傳資料出國,我們完全不知道。
🧨 為什麼會這樣?
老實說,這不只是某一個單位的問題,而是整體資訊安全思維還沒跟上來。
- 政策面:規定不夠細、執行不夠嚴
- 有些政策雖然明文禁止使用中國製高風險產品,但「什麼叫高風險」根本沒明定。
- 稽核也不夠嚴格,沒有跨部會的聯合查核單位來真的追下去。
- 實務面:採購以價格為導向,忽略風險
- 中國製設備便宜又好用,加上有現貨,當然很容易成為首選。
- 資訊人員可能也沒有被授權可以「拒絕危險設備」,甚至無從判別風險來源。
🛠️ 那該怎麼辦?三個層面的具體建議
✅ 一、政策要更有牙齒
- 建立**「高風險設備黑名單」**,明確列出禁止使用的廠牌或型號(像 Hikvision、Dahua 等)。
- 建立資訊設備的供應鏈審查標準,不只看價格,也要看來源、軟體控制權、伺服器位置等。
✅ 二、組織內部的安全稽核要升級
- 資安稽核不能只看文件,要有實地檢測裝置流量、封包去向、存取紀錄。
- 對於國家重要設施(機場、港口、科技園區等)應設立每年一次的實體資安健檢制度。
✅ 三、資訊人員要有說「不」的勇氣
- 應該設立明確制度,讓資訊人員在發現可疑設備時,有權要求停用或撤換。
- 提供資訊安全人員持續進修,讓他們能夠追上最新的資安威脅與偵測技巧。
💬 結語:不要讓認證成了「遮羞布」
我們不否定 ISO 27001 的價值,它是資訊安全的基礎工程,但真正重要的,是制度要落實,設備要可信,通訊要透明。
台灣處於地緣政治的第一線,資訊戰早就在打了。下一次攻擊,不見得是駭客入侵,而是從你沒注意的攝影機、WiFi 路由器裡偷走了我們的資料。
真正的資安不是表格打勾,而是每一個環節都有人看、有人管。
—
你覺得政府該怎麼處理這些中國製設備的問題?
你在你所處的單位,有沒有看過讓人頭皮發麻的資安漏洞? 歡迎留言,一起來聊聊。
