臺灣設立資安長動能來自法規遵循
到2022年底前,金管會透過修法方式,提升各產業公司資安防護能力,規定111家上市櫃公司必須設立副總層級以上的兼任資安長,有利於企業內部做資安資源的調度,金融業則是最先被要求設立資安長的產業
.
近期最熱門的高階人才就是資安長(CISO),來自產業對資安長龐大的需求,也讓許多具備資安專業的公務機關高階主管,紛紛離開公務體系,轉身投身產業、擔任資安長一職。
臺灣設立資安長最大的動能來自法規遵循,目前有兩個方面,首先,是「金融資安行動方案」的要求,具有一定規模以上的銀行、證券、保險、投信等,共計65家金融業者,必須要在今年三月底前設立資安長。
另外,就是金管會修正「公開發行公司建立內部控制制度處理準則」,希望透過修法的方式,提升各個產業的資安防護能力。
根據修法內容,到2022年底,就有111家上市櫃公司需要設立資安長,以及資安專責單位,現在距離這個期限只剩下八個月的時間,這些公司就必須設立資安長,這也讓資安長成為年度炙手可熱的高階獵人頭標的。
不過,資安長只是一個職稱,要如何成為稱職的資安長呢?根據線上開源字典《萌典》對「稱職」的解釋:才能足夠勝任所擔負的職務,因此,這個負責人若要成為稱職的資安長,符合法規遵循只是第一步,但要進一步做到名實相符,該考量什麼?
專精風險管理、資安治理及數位轉型的安永顧問顧問公司總經理萬幼筠,則以簡單的一句話概括資安長在企業內部應該扮演的角色,他說:「資安長要做的事情就是企業經營。」
金融業是設立資安長先驅,副總級資安長有利內部資源調度
資安長長年以來是國外的熱門職缺,但臺灣企業因為產業規模較小,加上對於資安防護意識較為薄弱,除了外商公司之外,本土企業少有資安長(CISO)的職缺。
隨著企業仰賴資訊系統提供服務日深,但資安風險逐日加劇,不論公司規模大小,都有機會遭遇到各種類型的網路攻擊,從最簡單的網頁置換開始,或是對企業危害不斷的勒索加密攻擊、癱瘓網站的DDoS(分散式阻斷式)攻擊、鎖定特定企業的APT(針對式攻擊),甚至是最難防護的供應鏈攻擊等,也讓許多企業開始有資安風險意識,會在資訊部門內成立資安相關的功能小組,具備風險意識的企業,就會分別成立資訊部門和資安部門,但資安長這樣的高階主管職缺,卻一直是稀缺產物。
現任國安會秘書長顧立雄在擔任金管會主委時,就已經意識到資安的重要性,在2017年2月,金管會邀請本國銀行討論相關議題所達成的共識則是,鼓勵本國銀行可依規模、業務複雜度與營運風險,於半年內,設置資安專責單位及相當層級的專責主管。此時,資安專責主管只需要協理層級以上的位階即可,當時只限制兆元以上的銀行需遵循相關規定。
但從2020年8月,金管會開始推動《金融資安行動方案》開始後,便規定具有一定規模以上的金融機構或純網銀,都必須設置副總經理層級的資安長;另外也希望董事會的運作中,能聘請資安背景的董事、顧問,或是設置資安諮詢小組。
到2021年9月,金管會所屬銀行局、保險局及證期局也完成修法,明定符合條件的金融機構,都必須設置副總層級或職責相當的管理人兼任「資安長」,以統籌資安政策推動協調及資源調度,提升其對資安議題的執行能力。
法條適用的範圍包括銀行、壽險、證券、期貨、投信投顧、證交所、櫃買中心、期交所以及證券集中保管所等65家金融機構,最遲到2022年3月,上述65家金融機構都必須設立副總層級的資安長。
金融業是臺灣設立資安長的先鋒產業,除了金管會希望能夠強化主管機關的資安監理能力外,更希望讓金融業組織內部,可以獲得組織管理高層的支持,透過副總經理高階主管位階的資安長帶領,更容易由上到下做各種資源調度,支持組織發展資安、進而落實資安治理。
另外一個法遵要求則來自於,金管會希望可以強化對上市櫃等公開發行公司資訊安全管理機制,透過修法方式,提升各產業公司資安防護能力,希望企業可以指派綜理資訊安全政策推動及資源調度事務的人兼任資安長一職,並設置資訊安全專責單位、主管及人員,以利進行差異化管理。
金管會將上市櫃公司分成三個等級,其中,符合第一級規範的111家上市櫃公司,都必須在2022年底前設立資安長,以及成立包含資安專責主管和至少2名以上資安專責人員的資安專責單位。
至於,第二級的上市櫃公司,則必須要在2023年底前設立資安專責主管,以及至少1名資安專責人員,總計有1,321家企業;其他266家第三級上市櫃公司,鼓勵企業配置至少1名資安專責人員。
要有管理和治理思維,衡量資安整體需求與資源分配
除了法遵要求外,萬幼筠認為,要成為一位稱職的資安長,首先要能夠定義資安角色與職掌功能,也要能夠了解企業集團風險並連結績效指標,更要配合業務發展策略,投入相對應的資源。
也就是說,身為企業高階主管的資安長,不能如同過去擔任資安部門主管一樣,只偏重資安技術和縱深防護而已,當位置轉換的同時,頭腦思維也必須從技術思維轉成管理和治理思維才行。
但萬幼筠從各種現況分析表示,在數位時代下,由IT兼任資安經常就是一個失敗指標,除非直接成立更高階的「資安管理委員會」,而金管會修法將資安長拉高到公司治理階層,就是希望落實企業的資安治理,有助於企業資安的成功。
他也說,企業資安包含企業社會責任、專利營業秘密保護等,金管會去年十一月的修法,更證明企業如果能做好資安,不僅是公司治理好、管理營運好,外資更願意投資這樣的公司。
臺灣科技大學資管系教授查士朝則指出,不同產業的資安長有不同要求,例如:金融資安長最重要的工作,是落實各種法遵,以及做好相關的稽核和資安檢查;各種製造業資安長,應該做好資訊資產分級分類;電商服務業資安長則要制定制度,可以從各種Log檔追資安事件根因。
他認為,資安長的高度與眼界,和公司規模、營運有正相關,要學會確認資安需求,以及做好資源分配,成為稱職資安長應該具備的技能。
資安是推動數位轉型的重要基礎
臺灣微軟Microsoft 365事業部副總經理朱以方日前也分享資安部署及日本資安長設立的相關經驗,她說:「資安防護不只是資安長CISO或資訊長CIO的工作,而是每位員工的責任。」
來自日本網路安全創新委員會(Japan Cybersecurity Innovation Committee,JCIC)主席梶浦敏範(Kajiura Toshinori),除了擔任日本網路安全協會主席,也是日本經團連資安工作協會小組主席。
他表示,日本政府提出新的資安戰略:全體人員資訊安全對應(cybersecurity for all),包含推動數位轉型、資安議題、安全保障計畫等,以及最重要的資安意識養成。
梶浦敏範指出,對日本企業而言,數位轉型和資安兩者在企業成長中同等重要。他說,數位轉型過程中,數據持續發展新的應用方式,就會有資安風險出現,資安長的角色和職責也從守備擴展到商業模式上,企業若將數位轉型視為獲利來源,資安也成為必要的投資。
而日本企業的資安長,也從以往以防禦為導向的「資安長1.0版」:找出資安風險、制定資安計畫、對應資安事件,以及對外的資安報告等,進一步轉變成以攻擊為導向的「資安長2.0版」,主要接觸和業務有關,與事業核心有關,幫助經營者與顧客、市場及股東說明資安投資、預測資安風險,改革並引導企業資安方針。
微軟亞洲首席資安官花村実則表示,資安長和資安團隊,會隨著經營者的決策與企業文化,而提升其權限和成熟度,當資安長能以業務和戰略為導向,將能有效抑止企業面臨資安風險。