2023 年

2023-10-27

保護資料、保護未來,資安長的任務及挑戰
產品經理 廖為紹

近年來,隨著數位化轉型加速,資安事件也更加頻繁且複雜,對企業和政府造成的損失也越來越大。因此,資安意識逐漸抬頭,各個組織都開始重視安全防護。

在台灣,金管會於 2022 年修訂「公開發行公司建立內部控制制度處理準則」,要求實收資本額達新臺幣 100 億元以上、前一年底屬台灣五十指數成分公司及主要經營電子商務媒介商品或服務之上市櫃公司,應於 2022 年底前指派資安長並設置資訊安全單位(包含資訊安全專責主管及至少 2 名資訊安全專責人員)。其餘上市櫃公司除最近 3 年稅前純益連續虧損或最近 1 年度每股淨值低於面額者外,應於 2023 年底前配置資訊安全專責主管及至少 1 名資訊安全專責人員。

此外,政府也積極推動資安法規,以強化企業和政府資安防護能力。例如,2022 年 12 月 20 日公布的「資通安全管理法」,明定企業應建立資通安全管理制度,並指定資安主管負責推動資通安全管理工作。
資安長是企業和政府資安防護的重要角色,負責制定資安策略、評估資安風險、應變資安事件等。資安長的設置,有助於企業和政府建立完善資安體系,降低資安風險,保障資訊安全。
資安長與資訊長工作職責

資安長(Chief Information Security Officer, CISO)與資訊長(Chief Information Officer, CIO)都是企業內的重要高階主管,但兩者工作職責與重點有所不同。

資訊長負責企業整體資訊科技(IT)管理,包括資訊系統規劃、設計、開發、維運、安全等。資訊長工作範圍涵蓋企業內所有資訊系統,包括企業內部使用的系統、對外提供的服務系統,以及與客戶、供應商等合作夥伴所使用的系統。資訊長的目標是確保企業資訊系統能夠順利運作,並提供員工與客戶所需的資訊服務。

資安長則負責企業資安防護工作,包括資安策略制定、資安風險評估與管理、資安事件應變等。資安長工作範圍涵蓋企業所有資訊資產,包括資料、系統、設備等。資安長的目標是確保企業資訊資產能夠免於遭受攻擊或竊取。

儘管資安長和資訊長在特定領域的專業職責不同,但通常需要緊密合作,以確保組織在數位時代中既能夠高效運營,又能保護其資訊安全。

目前台灣設立情形

根據台灣證券交易所截自 112 年 4 月30 日統計,第一級的上市、上櫃公司資安專職人員已完成設置。第二級的設置完成情形為上市公司 20%、上櫃公司 18%,皆只完成約兩成。

上市櫃公司內部缺乏專責資安團隊,將可能面臨以下問題:

1. 資料外洩風險增加:台灣的上市櫃公司時常在資訊安全實踐方面較為疏忽,容易讓客戶和業務數據外洩風險增加,不僅會對公司聲譽造成損害,還可能觸犯法規,導致罰款或面臨法律訴訟。
2. 知識和技能短缺:台灣公司在資安領域缺乏專業技能和知識。這會使公司難以有效地應對不斷演進的威脅和攻擊。缺乏專業的資安專家可能無法及時識別和解決潛在風險,使公司易受攻擊者利用。
3. 違規風險上升:台灣的上市櫃公司如果未能遵守相關資訊安全法規和標準,則可能面臨違規風險。這會導致政府機構或監管機構對公司採取制裁措施,包括罰款或處罰,對公司營收和聲譽造成損害。
4. 競爭力下降:隨著全球資安威脅不斷升級,公司需要具備良好的資安措施以保護其業務和客戶。如果台灣的上市櫃公司無法達到國際標準,其競爭力可能會下降,最後失去潛在客戶和投資者信任。
5. 金融損失:資訊安全漏洞和攻擊會導致金融損失,包括盜竊、勒索軟體攻擊和財務詐騙。這些損失將對公司財務狀況和可持續性產生重大影響。

資安長面臨的挑戰

在 COVID-19 大流行期間,許多企業急速採用了協作和通訊工具,例如 Microsoft Teams,以支持遠距工作和虛擬辦公環境。這些平台提供了員工便捷的工作方式,確保業務持續運營,但同時也引入了資訊安全上的重大挑戰。當資安長接手企業資訊安全管理職務時,他們將面臨以下主要挑戰:

1. 保護個資:企業使用協作工具儲存了大量敏感資訊和個人資料。資安長需要確保這些資料受到適當保護,以符合當地和國際的個資保護法規。這包括了制定政策和程序,以確保敏感資訊存取和傳輸是加密和安全的,同時也需要提供培訓,提高員工對個資保護意識。
2. 內部控制和合規性查核:隨著協作工具大規模使用,內部控制變得更為複雜。資安長需要確保這些工具的使用受到監督和合規性檢查。這包括確保用戶帳戶和權限管理是有效的,適當地限制了敏感信息訪問。此外,資安長需要確保協作工具的使用符合行業標準和相關法規要求,如 HIPAA(醫療保健)或 SOX(財務合規性)。
3. e-discovery 挑戰:e-discovery(電子蒐證)和 EDRM(電子蒐證參考模型)在處理法律案件和調查方面至關重要。隨著協作工具使用增加,資訊安全長需要確保企業能夠有效處理和保存數據,以應對可能的法律需求。這包括確保數據可迅速檢索,保留相關數據,並符合 e-discovery 以應對法律案件。同時,EDRM 策略和工具需要用來有效管理、保留和組織數據,確保數據合規性和完整性。

總結來看,隨著台灣企業和政府對資安意識提升以及相關法規強化,資安長的角色變得至關重要。然而,目前實際情況顯示,台灣上市櫃公司在資安專業人才和專責資安團隊方面仍有待改進。這可能導致資料外洩風險上升、違規風險增加以及競爭力下降。

為了應對這些挑戰,台灣企業應積極建立專責的資安團隊,提高資安專業知識和技能,制定明確資安策略,並持續培訓員工資安意識。這將有助於減少資安風險,確保企業在日益數位化的環境中保持競爭力,並維護其聲譽和客戶信任。

 

參考來源
資通安全管理法第 11 條
• 公開發行公司建立內部控制制度處理準則 第 9-1 條
• 推動上市櫃公司強化 資安的政策執行近況 與推動事宜
• ithome-今年要求1千4百多家公司設置專責資安單位,目前僅2成達標