專責資安長的必要條件：得與法遵長、風險長和資訊長平行協力

去年12月，蔡英文總統在HITCON Pacific上喊出：「資安即國安。」，而今年二月份，金管會也終於正視金融業的資訊安全問題，要求6個月內，銀行內部必須設置資安長（CISO）與資安專責單位。當資訊安全逐漸被重視，更成為一個施政關鍵指標，法制的影響也將逐漸擴大。勤業眾信風險諮詢公司總經理萬幼筠在資安大會的第二天，以「威脅潛伏的數位時代」為題，點出法制與資訊安全的重要性，他表示：「安全就是建立起一個可信任環境最重要的核心。我希望，安全要變成一個內建的零件，更要成為企業的基礎架構。」

有鑑於臺灣金融業近來面臨了不少嚴重的資安威脅事件，金管會在二月份時召集臺灣所有銀行總經理，強制銀行內部必須設置資安長。除了在美國紐約設有分支的8個臺灣金融機構，在之前就已經應美國紐約金融監理局的要求，設立專責的資安長、專責機構以及編列預算，並向董事會報告，通過後再送交美國金融監理局，這些在美設有分行的臺灣金融機構對資安是具備一定程度的重視，但臺灣大部分的銀行仍舊對資安長一角存在許多疑惑。

萬幼筠以美國標準技術研究所（NIST）和美國聯邦金融機構檢查委員會的安全風險治理邏輯來說明，董事會與高階管理階層才是最關鍵的角色，「美國透過NIST規範，資安長一定要做風險評估，跟董事會報告。」

資安長做什麼？與風險長、法遵長、資訊長相互協力

然而，大家心中最大的疑惑，資安長的階層在哪？該做些什麼？又要怎麼跟風險長合作？萬幼筠表示，位階在協理與執行副總等級的資安長，主掌企業資訊安全的風險管理，並且跟法遵長、風險長、資訊長互相影響、互相報告。

資安長依據本國與海外各國法規監管指引，進行合規檢視與通報，再交由法遵長（CCO）向風險長進行違法事件通報；資安長也要向風險長（CRO）通報資安事件，並營運持續管理、資安保險的評估；資安長也要監督資訊長（CIO）的資訊控管要求，資訊長再向風險長通報系統與人為操作不當的事件通報。

和過去最大的不同是，以往大家首重撰寫標準作業流程（SOP），現在則是注重事後的因應。「因為沒有100%的安全，所以現在一定要做Incident Handling（緊急事件處理程序）。」萬幼筠說明。

此外，資安部門也是一個獨立部門，更要有獨立的預算編列，也因此資安預算與資訊預算脫鉤後，就不需要受到箝制，萬幼筠表示，資安部門不需要因為資訊部門跟Ａ廠商很好，就順便買他們提供的資安服務。「現在許多金融服務都架構在網路上，安全性做不好，怎麼可能做KYC（Know Your Customer）呢？」他說。

「資安領域正在變形，滲透到各種地方」

搜尋結

萬幼筠指出，隨著跨境電子商務、跨國的電子應用以及各種新式科技的崛起，讓實體世界的疆界與圍牆無法再抵禦虛擬世界的資安威脅，海外企業也面臨了模糊且複雜的資安合規問題，當這些界線開始模糊的時候，就需要不同過往的法制仲裁。

社會上開始出現各種新型態的金融犯罪風險，但是他指出，臺灣的法制腳步還未跟上，他以一銀ATM盜領案中的俄羅斯的三名車手被當成共犯，並被判刑為例，「安德魯是只有高中學歷的車手，我們抓不到主謀（俄羅斯黑幫），但是寫程式的也不是俄羅斯黑幫。」他說明，這群駭入一銀ATM的駭客是在網路上寫攻擊程式，再賣給各個犯罪集團。俄羅斯黑幫向駭客購買程式碼，使用程式有時間限制，若要買更長的時間，就要再付更多的錢。但是，關鍵在於：「我們以前沒有看過這種事情，我們就嘗試用我們不知道的方式去解決他。」他更直指，未來這類無法確定法源的事件會越來越多。

在網路環境上，抑或是資訊環境上，安全是建立起一個可信賴的環境最重要的核心，「但是這些帶來效率的資訊環境並沒有打破我們的法規架構。」

不過，現在資安領域也開始透露出一絲曙光，除了上述的資安長設置是一個小起點外，目前擔任政府施政顧問的萬幼筠也透露，未來的台北市長候選人也紛紛對資安提出一些想法，使資安成為一項施政的關鍵指標，「資訊安全是帶給民眾福祉很關鍵的項目。」他說，雖然不管系統做得多好，還是有層出不窮的惡意軟體、0day出現，永遠也解決不完。但是，這也帶來無窮盡的能量，代表著資安領域的專才會一直都在。

他強調，安全必須要成為企業的基礎架構之一，也要是產品的內建元件。他表示，原本投入風險諮詢的主要是金融業，現在也有銷售通路開始需要資訊安全的解方。他表示，現在資安團隊還要投入食品履歷的研究，看有效期限是不是被人竄改。「資訊安全的領域正在變形，滲透到各種地方。」他表示，企業的Domain Know-How開始與技術安全的技術產生一些混合。隨著這樣的結構，他也提出警訊，資訊化越高，如果資安成熟度越低的話，整個國家的架構將不堪一擊。