不久前，「護國神山」的員工洩密事件引起各大媒體爭相報導，一時間鬧得沸沸揚揚。這起資安事件對從事資安工作者而言著實令人震驚，後續檢討原因過程中，甚至揪出了如同電影情節般的內神通外鬼。

去年，台積公司舉辦了一場大型的「供應商資安研討會」，主題為 「供應鏈資訊安全強化管理實務」。會中不僅分享多年資安管控的實務經驗，也提出現階段的 「關鍵 10 項管控措施」。

其中，「遠端連線管理」是重要的一環。台積公司要求建立嚴謹的申請核可與控制機制，員工如需從外部遠端連線至公司內部，必須符合相關規範。在做法上，公司嚴格規定供應商應落實管理政策（如申請與審核程序）及技術措施（如雙因子驗證、僅限公司核可裝置連線）。藉此，能有效約束員工及供應商透過遠端存取公司資源的行為。更進一步，台積公司也期許供應商將相同要求向下延伸，推動其供應商採取相稱的管控措施，使資安觀念能逐層向外擴散。

事實上，遠端工作的需求早已成為趨勢。回顧新冠疫情期間，部分國家甚至嚴格限制人民外出工作或採購，就連就醫也必須透過視訊方式進行。在此情況下，許多國內外企業被迫快速導入遠端工作服務，以維持公司營運。因此，ISO 27001 也針對「遠端工作」提出相關控制措施，目的在於提醒企業重視遠端作業下的資訊安全，並確保此類活動能符合法規與組織的內控要求。

就像紗窗必須留有縫隙才能通風一樣，遠端工作雖帶來便利，但同時也伴隨著隱形的資安風險。常見的遠端工作威脅包括：

• 內部員工或供應商利用遠端連線存取未經授權的資訊，而組織在此過程中缺乏有效監控。
• VPN帳號密碼外洩，使非法使用者得以進入內部資源，甚至植入後門程式與勒索病毒。
• 攻擊者利用 TeamViewer、VPN 等軟體漏洞滲透，進而入侵組織內部系統。
• 遠端工作的電腦遭植入惡意軟體，成為資料外洩的破口。

上述風險多半容易被理解，也提醒我們必須進行安全管控評估，以降低威脅發生的可能性與衝擊。

唯有透過健全的資安管理制度，組織才能在政策上制定完善的管理方向，並教育員工正確評估遠端工作的風險，進而採取合宜的防護措施。同時，在完成政策規劃後，亦應考量適用的技術工具，以加強遠端工作的監控與稽核，降低人工作業的成本與疏漏。

因此，導入 ISMS（資訊安全管理系統）不僅能提供組織更明確的安全管控方針，也能為資安風險的評估與治理帶來實質助益。若貴單位已展開 ISMS 建置，我們也期待能在驗證過程中協助您更具體、到位，並期盼有機會與您進一步交流合作。

作者：潘柏廷 Conrad Pan

現職：亞瑟國際驗證專任資安技術專家，資深資安教育者，曾任資安輔導顧問，專長領域為資安、個資、人工智慧