【臺灣資安大會直擊】當數位信任躍升企業戰略核心，國際電腦稽核協會推動以DTEF框架落實韌性與企業治理

促進數位信任，管理階層可優先掌握五大原則

數位信任已成當代社會的基石，陳政龍強調，在未來的企業營運中，使用者的信任將成為最重要的核心資產。對於企業董事會與管理高層而言，這將是不容輕忽的核心課題。

何謂數位信任？陳政龍指出，就是在數位生態系統中，提供者與消費者之間對於彼此關係、互動與交易完整性的信心，這將涵蓋人員、組織、流程、資訊與技術等面向。而要建構一個可信賴的生態系統，從消費者角度來看，主要考量六大因素：品質、安全與隱私、可靠性、道德和誠信、透明與正直，以及信心。

因此，對於治理機構的高階管理層而言，促進數位信任需要重視的層面不少，除了財務成本與風險控管，更需考量如何透過信任增強顧客關係、強化商譽與品牌忠誠度，即使發生負面事件，若企業處理得當並展現透明度，依然能維持甚至提升信任。而且，企業內部還要優化業務流程，強化安全性與合規落實，縮短事件反應時間，並且持續學習與成長。

如何實踐是企業組織關注的重點，陳政龍指出，數位信任的關鍵在於「組織文化的形塑」與「確保合適的工具已啟用」，而非單純的技術問題。他將數位信任的五大原則歸納為兩大層面：首先，董事會應承擔「系統化思維、風險治理、認知意識」三大職責，致力於將數位信任融入現有的隱私與資安框架，避免疊床架屋；其次，董事會則期望管理階層採用「適切的框架」與落實「風險管理」，以確保治理方針能有效轉化為執行力。

解析DTEF框架，從4大節點6大領域出發

為了落實董事會對「適切框架」的期望，ISACA提出的DTEF框架成為企業建構數位信任的重要指南，且其設計強調與現有框架結合使用，以避免框架過載的管理負擔。

在深入應用DTEF之前，陳政龍強調，企業必須先釐清四個重要觀念：（一）DTEF的建構具有整體性，任何環節的異動都可能影響其他部分；（二）DTEF是基於組織特定的價值觀、使命、願景及目標而設定，因此企業不應直接複製套用；（三）將數位信任定位為企業級議題，不應僅將其視為IT、資安或隱私議題，而應是整個企業關注的核心；（四）深入了解業務背景，並明確界定數位信任的重要性與能見度。

究竟DTEF框架的模型架構為何？根據陳政龍展示的框架圖示，我們可以看出該框架是如何將抽象的信任概念，轉化為具體的運作邏輯。

具體而言，DTEF模型是由四大節點構成核心，涵蓋人員、流程、技術、組織，並由六大領域作為節點之間的連結，包括文化、新興態勢、賦能與支援、人為因素、指導與監督、架構。

為了讓框架能精準落地，DTEF拆解出具備操作性的層級體系，涵蓋領域（Domain）、信任因素（Trust Factor）、實踐（Practice）、活動（Activity）與成果（Outcome）。陳政龍對此說明，IT技術與設備只是DTEF層級中最根本的節點，接下來要做的事情還很多，要透過領域的界定與信任因素的納入，經過實踐與驗證後，才能產出成果。

此外，陳政龍亦點出「文化」在信任治理中的關鍵地位，並藉此說明DTEF提供的實體層級控制項極為精細。他以「CU.01.01識別和評估文化」為例，當中將進一步細分一般性控制、關鍵績效指標（KPI）、關鍵風險指標（KRI）以及與其他領域的關聯，確保管理動作能精準對接組織現況。

至於框架實施方面，DTEF採行五大階段的循環運作模式：從瞭解業務環境、瞭解數位環境開始，進而制定數位信任策略，以及計畫並實施數位信任，最後則是監控、衡量與改善。

面對當前的AI浪潮，陳政龍還提到，可運用DTEF框架來實現值得信賴的AI，將AI的設計、開發與部署流程與DTEF框架結合，並納入AI風險登錄，協助組織以全面性的方式來規畫AI專案。

在描繪DTEF框架的樣貌之餘，陳政龍亦強調，韌性是DTEF框架中的核心原則之一，在遭遇資安攻擊、資料外洩、系統故障等重大干擾時，組織必須具備快速恢復與持續運作的能力，甚至在危機中強化自身競爭力。

透過DTEF可協助組織預先規畫「最壞情境」，導入一套系統化的回應機制與復原實務，讓組織不僅能快速修復損害，更能持續進化、強化對未來威脅的抵抗力。