攝影/洪政偉

自從金管會下令修法後,到2022年底,至少有超過一百家的上市櫃公司都必須設立資安長(CISO)一職後,許多人對於資安長的角色與職掌(R&R)有許多的想像和質疑,甚至於企業內部對於是否應該設立資安長,甚至,設立這個職位以後,在企業內部應該扮演何種角色,眾說紛紜。

對此,專精風險管理、資安治理及數位轉型的安永風險顧問公司總經理萬幼筠,以簡單一句話概括資安長在企業內部應扮演的角色,「資安長要做的事情就是企業經營。」也就是說,身為企業高階主管的資安長,不能如同過去擔任資安部門主管,只偏重資安技術和縱深防護而已,當位置轉換的同時,頭腦思維也必須從技術思維轉成管理和治理思維才行。

資安長首先要定義資安角色與職掌功能

安全和營運往往是天秤的兩端,身為稱職的資安長(CISO),不再只是像擔任資安部門主管一般,只需要考量技術和防護觀點,而必須將資安風險對企業造成多大的損失,以及如何影響企業營運思考在內。

因此,萬幼筠認為,一個稱職的資安長第一要務就是必須真正意識到:資安治理不等同於資安管理,資安長必須將資安的角色和職掌功能徹底定義清楚,因為資安管理不是單純的管理IT而已,而是包含企業經營、企業社會責任等多種層面的資安治理。

他進一步解釋,「治理」是現在的趨勢,不管在公司哪一個位置和職務上,都必須要揭露治理權責和義務,也要揭露相關的財務營運損失,但其中,資訊安全因為涉及企業營運安全,現在是可以進到董事會報告的。

資安是近幾年來政府開始重視的項目,剛開始,先是透過金管會的修法,鎖定大型的金融業者,要求內部應該要設立資安長、資安專責部門和資安專責人力,甚至也規定資安長應該是企業內部的高階主管,要求要副總層級以上的高階主管擔任資安長一職,後續也逐漸促使資安長成為企業內的重要角色。

不過,目前實務上,有許多企業的資安長其實是資訊長兼任,萬幼筠認為,這往往意味著,「資安是資訊的附屬品」,在意的仍是維運層級,在意的是技術安全而非營運安全。「資訊背景出身的資安長,容易忽略企業風險這個環節。」他說,資訊長兼資安長是不得已的方式,因為適任的資安長人才難覓,但必須注意的是,這樣的作法,應該是短期內很難找到適任資安長所做的權宜措施,不應該是企業發展的長期作為。

但萬幼筠也說,如果是由類似營運長的高階主管兼任資安長一職,表示企業高層對資安的重視。畢竟,營運長是企業經營管理委員會的成員,也必須向董事會報告,由這樣的高階主管兼任資安長,也意味著,資安在該公司屬於管理階層的工作內容。

資安包含IT和OT,對許多高科技業者而言,OT才是公司營運核心、生財有道的關鍵,實際上,IT部門根本叫不動OT部門,更遑論當IT部門想要管理OT資安時,因為涉及企業賺錢關鍵,而處於插不上手或被排拒在外的狀態。

從各種現況分析,萬幼筠表示,身處數位時代之下,由IT兼任資安經常就是一個失敗指標,除非直接成立更高階的「資安管理委員會」;而如今金管會修法將資安長拉高到公司治理階層,才更有機會落實企業的資安治理,而企業資安才可能成功。

他也說,企業資安包含企業社會責任、專利營業秘密保護等,金管會去年十一月的修法,更證明企業如果能做好資安,不僅是公司治理好、管理營運好,外資更願意投資這樣的公司。

不過,萬幼筠指出,企業要做好資安不是導入ISO 27001就好,更在意的是企業管理的成熟度,不只是砸大錢做資安而已,更關鍵是必須一步一步落實資安,因為資安長要落實資安治理,而這是一種管理職能,在意的是企業風控、內控;該關注的部分是:資安的角色與職掌,能否涵蓋企業風險的範疇;相較之下,資安部門主管這個角色才是偏重資安技術。

他也觀察到,要界定資安長的職能範圍,除了要確認是否包含OT外,法遵合規與否也很重要;如果資安長在企業內沒有足夠高的位階,有許多大型企業會透過成立「資安管理委員會」的方式,來落實資安治理,該委員會由董事長擔任主席、資安長擔任秘書,並邀請涉及公司營運的重要部門主管,像是生產製造的廠長等應邀參與。

資安長要了解企業集團風險並連結績效指標

因為沒有百分之百不會遭駭的企業,也沒有百分之百的資安,所以,資安長就不可能保證企業不會發生資安事件,但關鍵在於,不會爆發資安事件的「機率」有多高?

所以,萬幼筠認為,要了解企業集團面臨的資安風險,就必須要連結績效指標,也必須跟成本綁在一起,而最明顯的例子就是,當企業要投資購買某類型的設備軟體時,就要明確知道是為了解決什麼問題、降低何種風險,絕對不是買來供著而已。

例如,金融業要進行OT系統盤點時,因為金融系統不能安裝代理程式,雖然法規要求金融系統上線前都必須要嚴格審查,但源碼檢測、上線過版都只能做非侵入式的掃描而已,在不安裝代理程式的前提之下,正確率大概只有八成。

因為資安要跟績效指標結合,如果企業面臨的資安風險過高時,也可以考慮使用資安險作為風險轉移的工具。他表示,目前資安險有兩者,常見的是企業本身遭駭的第一責任險,另外一種則是後來才出現的資安險種:企業客戶遭駭的第三責任險,這類型資安險是因為供應鏈資安風險增加,加上保險理賠金額高,保險公司會再找國際再保公司分攤風險,一旦必須理賠,則會由再保公司出險。

萬幼筠說,過去的資安險並不專業,資安長要看企業商業風險、公司營運狀態而有不同選擇,風險指標就是一種企業成熟度指標。近期,因為資安風險高、所以保費高、理賠金額也高,若參考國外企業購買資安險的作法,可以把企業內部分成不同類型和範圍,各自投保合適的資安險種,達到企業避險的目的,像是代工產線部分,一旦中斷將會直接影響企業營運,就可以投保最高額的資安險,其他IT維運系統、伺服器等,則可以買其他類型的資安保險因應。

資安風險有很多種,很多高科技業者除了要考量人資資安、產線資安(機臺安全標準)、實體安全等不同面向,也必須注意到營運風險不是機器風險,而證交所要求企業要把營運風險揭露在年報中,呈現的是資訊治理、公司治理的一環,但其他的資訊作業內容則還沒有揭露在年報中。

資安長要配合業務發展策略,投入相對應的資源

對萬幼筠而言,只會導入傳統ISO 27001的資安長,並不是稱職的資安長;只懂資訊安全技術的資安長,也不是一位好的資安長;稱職的資安長必須能夠配合公司業務發展策略,而作配套的資源佈建。

也就是說,稱職的資安長必須知道當公司業務拓展到哪一個地區,必須要符合哪一種規範,要做哪些相對應的投資。

舉例而言,今天公司業務範圍擴展到歐盟地區時,許多客戶資料保護就必須符合歐盟個資法GDPR的要求,身為企業的資安長,就必須要很清楚扮演的角色是什麼?是要扮演幫公司做好客戶個資保護的資安長呢?還是要擔任保護個資當事人權益,通報當地監理機關的個資保護長(DPO)呢?

假設該企業需要一個當公司在歐盟拓展業務時,可以協助把關客戶個資保護處理事宜的資安長時,公司的資源就必須放在:如何做到符合歐盟個資法GDPR保護客戶個資的方法上。

資安長落實內控的三大目的

萬幼筠認為,資安的事情交給資訊人員負責,並沒有監督意義;而資訊的效果確認,必須要由資安人員監督是否落實。他說:「對資安長而言,協助做好企業內控是非常重要的任務。」

資安長落實企業內控有三個目的,首先,確定資訊資產的安全。

他表示,包含企業營運活動的所有流程、OT、技術研發、營運模型、風險控管和資安保護等,都是為了要確保企業提供的產品或服務是安全的、受到保護的,取得ISO 27001資安認證,並不是資安長要做的事情。

但是,如何保護客戶個資、如何增加個資保護強度、如何取得當事人個資使用同意等,不應該只是企業法務長或是營運長的事,每一個牽涉的流程環節和資訊資產安全,更是資安長責無旁貸的任務。

其次,資安長落實內控,是為了確保管理資訊即時且正確表達。萬幼筠指出,企業的營運資料不容遭到竄改或任意變更,尤其是財務資訊的正確、即時表達,更攸關企業營運的安全性。

第三,資安長落實內控是為了確保企業經營效果與效率。萬幼筠認為,資安長不同於資安部門主管,所作所為必須和企業營運相關,而非追逐最新攻防技術或產品趨勢。

最簡單的例子就是,經濟部修法企業使用的資安產品和服務,可以列為資安投資抵減項目,這是因為攸關公司營運績效,財務長對這類資訊非常敏感,甚至是一有公告,馬上會研究該怎麼進行投資抵減對公司最有利。但這明明是資安的投資抵減項目,這樣的抵減金額是否可以列為資安長和資安部門的績效呢?這反而是資安長必須思考的事情。

同時,金融業對於內稽內控有所謂的三道防線,這是資訊、資安和稽核部門可以發揮的功能,也是資安長可以據此落實企業經營的參考依據。

第一道防線就是要辨識並管理日常事務所產生的風險,並針對風險特性設計並執行有效的內部控制程序以涵蓋相關的營運活動。萬幼筠表示,第一道防線就是資訊部門。

第二道防線是為了協助及監督第一道防線辨識及管理風險,獨立於第一道防線和第三道防線,包含風險管理、法令遵循及其他專責單位。萬幼筠說,第二道防線就是資安部門。

第三道防線是內部稽核單位,以獨立精神執行稽核業務,評估第一道防線和第二道防線風險監控的有效性。萬幼筠指出,第三道防線就是稽核部門。

他也以臺灣某高科技業者的運作方式為例,他認為,三道防線若能各司其職,企業資安才能落實,該公司資安長透過槓桿方式規避風險,藉由打造的大平臺,完成資安工作,並且運用因勢利導的方式,藉由讓稽核部門開出缺失項目,就可以讓業務單位配合。

 相關報導 

熱門新聞

Advertisement