防禦第一線！上市櫃「資安長」與資安治理

【文．徐俊贤、庄荞安】

年资安攻击和个资泄露事件频传，已严威胁到企业的运作和声誉。金融监督管理委员会于 2021 年底规范上市柜公司应分 级设置资讯安全人力，推动上市柜公司设置「资安长」（Chief Information Security Officer；CISO），以提升 整 体资安防护能力。而「资安长」必须综理资讯安全政策推动与资源调度，并带领资安团队负责资讯安全相关工作；简言之，「资安长」并不是单纯的技术职位，而是一个参与公司治理的高阶职位，必须协助企业高层将资安议题融合至公司的整体策略和风险管理，并充分与其他部门合作，逐步建立企业的资安文化。所以「资安长」不仅需要专业的技术知识，更需要有跨部门合作和领导的能力。

然而，在推动「资安长」设置的过程中，企业面临实际的困难，例如资安专业人才整体不足、懂得企业特性的资安人才更是凤毛麟角、建立资安体系需要大量资源的投入并改变内部人员操作习惯等。根据台湾证券交易所近期公告（统计至 2023 年 4 月 30 日止）的资料中显示，除资源较为丰富的第一级上市柜公司已按预期完成「资安长」设置外，第二级上市柜公司「资安长」的设置进度则仅有两成，不尽理想。企业在推动资安的进程上，显然面对相当大的挑战，必须审慎面对并努力克服。

全球资安威胁催生「资安长」

合格人才缺口大、培养不易

从外部骇客的勒索软体、钓鱼邮件、分散式阻断服务攻击（DDoS）、零日攻击（Zero-Day），到内部人员的疏失或恶意行为，企业正面临越来越多元和复杂的资安威胁，一旦攻击成功都可能对企业造成严重的损失和影响。

根据IBM近期的资料外泄报告（Cost of a Data Breach Report）， 今（2023）年全球平均每起资安事件所造成的成本高达 445 万美元，较过去三年增加 15％，资安事件导致的损失已成为企业必须面对的重要议题。

为了因应潜在的资安风险，企业需要建立一套完整而有效的资安管理制度，以保护企业的资产、资讯、客户和声誉等，而这些制度必须仰赖「资安长」的带领，才能凝聚共识并逐步落实。然而，经过初步统计，仅在近期推动上市柜公司资安强化过程中，就导致台湾市场上出现大约 2 万个资安人才的缺口，突显出企业在资安管理上面临的严峻挑战。

目前几乎所有的企业均已高度资讯化并逐步展开数位转型，在导入云端技术与人工智慧等新兴科技同时，必须将资安管理融入企业策略、组织、文化及法规等面向，亦即，资安管理必须嵌入企业的治理，才能 发 挥 最 大 的功效。因此，企业设置专责「资安长」负责规划、推动和监督资安治理，迫在眉睫；但是要培养出合格的企业「资安长」却不是一件容易的事。

【完整内容请见《会计研究月刊》2023.10月号】