資安治理成趨勢，資安長得具備哪些能力？

鴻海集團旗下有6大事業群、每一事業群年收都破兆，如何掌管龐大且複雜的集團資安，是鴻海集團資安長李維斌近來面對的挑戰。他整理第一線經驗，點出權威資安框架CSF將新添治理元素，資安治理已然成為趨勢，資安長也應轉變思維，來提高組織面對不確定性的冒險本錢。

資安趨勢轉變，講究治理

IT出身的李維斌，曾任逢甲大學資訊處資訊長、臺北市資訊局局長，後來進入鴻海集團擔任鴻海研究院執行長，以及研究所旗下資安所所長，去年開始還多了個集團資安長的身分。

他點出，要做好資安工作，資安長（CISO）得先了解大環境的變化。比如，過去資安人常談VUCA，根據易變性（Volatility）、不確定性（Uncertainty）、複雜性（Complexity）和模糊性（Ambiguity）來思考資安做法。但近年，哈佛商學院教授Bill George提出VUCA 2.0，聚焦願景（Vision）、理解（Understanding）、勇氣（Courage）和適應（Adaptability），資安長一樣可從該角度思考資安策略。李維斌說明，在這變動的環境，資安長得要定義出堅實的願景，才能因應環境波動，同時保持開放心態，來理解新技術、法規和需求，才能有效溝通。而且，資安長也要有勇氣面對複雜事物和挫折，才能適應新狀況。

李維斌還觀察到，資安文化在轉變，從最初聚焦的技術層面，亦即講求防火牆、入侵偵測系統等設備採購，轉為管理層面，重視認證資格（如ISO 27001）的取得。但近期，資安文化焦點悄悄轉向治理層面，講究當責，要企業整體營運更順暢。

不只如此，最明顯的大環境變化是，國際資安權威機構美國NIST今年開會，要改版各界奉為圭臬的資安框架CSF，將在IDPRR五大元素中，進一步納入治理（Governance）。李維斌點出新版的改變，包括資安治理、供應鏈管理、持續性風險管控、基礎建設韌性，以及善用人才、程序和科技來實現資安防護等。他也透露，NIST已在今年4月擬定2.0版本的核心內容，明年初預計釋出CSF 2.0版。（如下圖）

轉變思維聚焦服務、業務和創新

那，什麼是資安治理？

李維斌引用國際資訊安全稽核員（CISA）證照的說明，舉出5大資安治理特點，包括要有當責框架、要有決策制定的階層，還有清楚定義的業務目標相關風險。重要的是，資安治理還要有風險緩解計畫和策略，更要有監管處理流程和詳細程序。

面對大環境改變，資安長和負責資安業務的資訊長（CIO）也得「轉變思維。」李維斌舉例，不論是資訊長還是資安長，都得從過去談系統（System）的習慣，改以服務（Service）為中心，來與業務單位更好地溝通。同樣地，過去以IT敏捷為中心，現在資安應思考的是業務敏捷，維持業務快速迭代。還有一個重要的思維轉變是，將資訊轉換為創新，來替企業創造價值。

「唯有思維轉型，你才有辦法看見不一樣的事。」李維斌進一步指出，資訊長得把自己定位為「業務夥伴」，而不是IT提供方，應從業務角度思考，IT能如何運用、如何創新，並將這個運用能力帶給業務單位。

同理，資安長也應將自己視為業務夥伴，而非「安全警察」，才能順利將資安觀念帶到第一線業務單位，提高全體資安意識。李維斌強調，資安長的一大任務是提高組織面對不確定性的冒險本錢，帶領組織在變幻莫測的環境中，順利走出一條路。另一個重要任務是「調和」維持競爭力下的衝突，而非「妥協」，亦即要理解雙方處境和需求，找出可行的第三條路，而非各退一步、妥協於中間點。這項任務，「也是我對自己的期許，」李維斌說。

面對轉型，資安長和資訊長如何協調分工？他總結，資安長該做的是治理，也就是「Doing the right thing」，比如負責監督、授權給資訊長來做決策、負責戰略規畫、扛起當責性、分配資源，而資訊長該做的則是管理，也就是「Doing things right」，比如經授權來決策、負責專案規畫，以及善用資源來完成專案。

鴻海集團靠4關鍵組織推資安

李維斌也以鴻海集團為例，來說明大型企業資安治理模式。鴻海集團內部有4個關鍵資安組織，包括資安治理工作小組、資安維運工作小組、由集團董事長為首的資安治理委員會，以及由資安長領導的秘書處。

其中，資安治理工作小組和資安維運工作小組相互監督、指導和評估，後者還會與集團6大事業群的資安執行單位共事，並與鴻海資安情資分享聯盟互通，來進行通報和交換情資。

資安治理委員會除了由董事長領軍，成員還來自各事業群的總經理，聚焦於資安治理方向與策略。秘書處除了向資安治理委員會報告，也肩負2項重要任務。一是提供資安治理和管理相關資料給IR、PR和負責年報的單位，來將成果轉換為可對外發布的訊息，另一項任務是協助稽核單位，來落實集團內部資安稽核。（如下圖）

資安3要素CIA的新解讀

早年擔任資訊長的經歷，以及在鴻海集團的資安磨練，讓李維斌對業界熟悉的資安3要素CIA框架，有了新的解讀。CIA是指機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），但對李維斌來說，CIA還有更廣泛的意義。

他指出，其中的C代表同理的過程，透過傾聽（Contact）、融入（Context）情境和影響（Content）對方，來產生信任。接著是形成組織文化的I，亦即找出不會被拒絕的切入點、從好的開始（Initiative）來產生影響，和平地重新詮釋分工與合作。最後的A則是改變的過程，透過改變工作方式，來讓組織行為模式發生改變，比如企業遭遇危機，於是導入新系統因應（Adopt），接著使用者熟能生巧（Adept），並將這個工具融入業務流程，進一步適應（Adapt）、實現改變。

最後，李維斌也總結資安長工作心法，「資安長是一個持續進化的角色，」他表示，外在環境不斷變化，因此資安長得「Stay informed，」比如理解不斷新增的監管規範和法遵，以及不斷改變的威脅環境和使用環境。再來，資安長得要讓企業有能力擁抱過去認為風險太高的機會，同時因應治理階層不斷被要求的資安責任與義務，來分憂解勞。更重要的是，資安長要能「From team to teaming！」李維斌解釋，資安長不會只與一個固定團隊共事；每當不同事件發生，資安長得尋找有領域知識的專家參與，並組合不同職員、形成有默契的團隊來解決問題，如此才能優化企業資安體質。

 相關報導