防禦第一線!上市櫃「資安長」與資安治理
【文.徐俊賢、莊蕎安】
年資安攻擊和個資泄露事件頻傳,已嚴威脅到企業的運作和聲譽。金融監督管理委員會於 2021 年底規範上市櫃公司應分 級設置資訊安全人力,推動上市櫃公司設置「資安長」(Chief Information Security Officer;CISO),以提升 整 體資安防護能力。而「資安長」必須綜理資訊安全政策推動與資源調度,並帶領資安團隊負責資訊安全相關工作;簡言之,「資安長」並不是單純的技術職位,而是一個參與公司治理的高階職位,必須協助企業高層將資安議題融合至公司的整體策略和風險管理,並充分與其他部門合作,逐步建立企業的資安文化。所以「資安長」不僅需要專業的技術知識,更需要有跨部門合作和領導的能力。
然而,在推動「資安長」設置的過程中,企業面臨實際的困難,例如資安專業人才整體不足、懂得企業特性的資安人才更是鳳毛麟角、建立資安體系需要大量資源的投入並改變內部人員操作習慣等。根據臺灣證券交易所近期公告(統計至 2023 年 4 月 30 日止)的資料中顯示,除資源較爲豐富的第一級上市櫃公司已按預期完成「資安長」設置外,第二級上市櫃公司「資安長」的設置進度則僅有兩成,不盡理想。企業在推動資安的進程上,顯然面對相當大的挑戰,必須審慎面對並努力克服。
全球資安威脅催生「資安長」
合格人才缺口大、培養不易
從外部駭客的勒索軟體、釣魚郵件、分散式阻斷服務攻擊(DDoS)、零日攻擊(Zero-Day),到內部人員的疏失或惡意行爲,企業正面臨越來越多元和複雜的資安威脅,一旦攻擊成功都可能對企業造成嚴重的損失和影響。
根據IBM近期的資料外泄報告(Cost of a Data Breach Report), 今(2023)年全球平均每起資安事件所造成的成本高達 445 萬美元,較過去三年增加 15%,資安事件導致的損失已成爲企業必須面對的重要議題。
爲了因應潛在的資安風險,企業需要建立一套完整而有效的資安管理制度,以保護企業的資產、資訊、客戶和聲譽等,而這些制度必須仰賴「資安長」的帶領,才能凝聚共識並逐步落實。然而,經過初步統計,僅在近期推動上市櫃公司資安強化過程中,就導致臺灣市場上出現大約 2 萬個資安人才的缺口,突顯出企業在資安管理上面臨的嚴峻挑戰。
目前幾乎所有的企業均已高度資訊化並逐步展開數位轉型,在導入雲端技術與人工智慧等新興科技同時,必須將資安管理融入企業策略、組織、文化及法規等面向,亦即,資安管理必須嵌入企業的治理,才能 發 揮 最 大 的功效。因此,企業設置專責「資安長」負責規劃、推動和監督資安治理,迫在眉睫;但是要培養出合格的企業「資安長」卻不是一件容易的事。
【完整內容請見《會計研究月刊》2023.10月號】