观念平台－强化资安 政府及企业迫在眉睫

为积极推动资通安全政策及加速建构环境以保障我国资安，《资通安全管理法》已于2019年上路，相关子法亦于2021年8月修正。尤其在金融科技风潮下，资安威胁日益严峻，金管会于2020年8月发布「金融资安行动方案」36项措施，四年内逐步推动。资产兆元以上金融机构，须强制设置副总级以上的高阶资安长，透过深化资安治理、精实资安作业韧性及发挥资安联防，以达到安全、便利、营运不中断的目标。

2021年底亦修正公开发行公司内部控制处理准则，明订公开发行公司应配置适当人力资源及设备，进行资讯安全制度的规划、监控及执行资讯安全管理作业。另外，为协助上市柜公司强化资安防护及管理，证交所及柜买中心于2021年底发布「上市柜公司资通安全管理指引」，作为资通安全相关规划及执行计划时之参考。徒法不足以自行，政府及企业都要有危机意识，确实检讨及精进。

根据德勤（Deloitte）今年初在美国做的一份调查，受访的审计委员会成员中，有62％认为2022年预计将花更多时间去面对的首要风险便是网路安全议题。根据美国2022年7月发布的一份调查报告，财星500大企业在2021年任命新董事会成员中，17％遴选了具网路安全经验者，相较于2020年只有8％，有倍数以上成长。该调查指出，因美国劳动力不足，有1/3的网路安全职缺尚未补足，可能让组织内部防卫薄弱；在资安人才严重短缺之际，这已经成为全球共通的问题。由于近年来全球积极推动数位转型，加上疫情影响，远端及混合式工作激增，更为网路犯罪创造新的机会。组织应评估数位化程度所需的网路安全管理成熟度，建立防御架构与基础措施，及网路安全策略与治理架构，强化资安管理机制。

资安非常重要，但是一般组织常将其视为只是科技或资讯问题，以为聘任资安长、购买资安工具或投保资安险后，就能高枕无忧。而多数的董事会及审计委员会都很少去碰触这个多数成员都不太熟悉的议题。首先，金融机构及大企业，未来在遴选新董事时，可参考美国财星500大企业适时引进资安专家；也可参考公司治理模范生台积电将「企业资讯安全」列入审计委员会之审议事项。

「人」是资安管控中最弱的一环，骇客经常运用社交工程手法，诱骗受害者做出违规的行为。强化重视资安的文化，要从董事会及管理阶层以身作则开始，透过增进资安意识认知训练，并在各种场合持续提醒大家重视资安，并建立自我防护观念，才能提升组织整体资安意识，降低资安风险。

董事会应确保经营团队建构全公司之资安风险管理架构，并配置足够的人才及预算；宜定期邀请负责的主管，报告资安风险管理架构、资安政策及具体管理方案、资安防护的现况及未来的加强计划，例如增聘专责人员、寻求外部专业顾问的协助、建立资安的应变计划、资安管理系统导入（ISO/IEC 27001）等。更要透过持续监督，以确保资安策略落实推动及资源的确实投入。