4月11日更新:台泥發布重訊指出,台泥資訊協理張年旺擔任台泥公司資安長一職,於4月11日生效,以下為數位時代專訪張年旺,提及企業設立資安長的趨勢與資安長工作內容。
疫情促使各行各業朝向數位轉型發展,如今各產業都與數位科技高度相關,資訊安全(簡稱資安)將成為公司治理的重要一環。
金管會在2021年底正式發布新版「公開發行公司建立內部控制制度處理準則」,要求國內資本額破100億元、前50大市值(台灣50指數成分公司)的上市櫃公司都需要設立資安長,並要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員,無論是半導體、金控業、水泥業、鋼鐵等公司都得做好準備。
規範公告至今已有不少企業採取行動,設置資安長是上市櫃公司當務之急,像是印刷電路板大廠欣興電子、台灣水泥龍頭台泥等公司計劃增設資安長一職。到底資安長(Chief Information Security Officer,CISO)是一個怎樣的職位?跟資訊長(Chief Information Officer,CIO)有何不同?
各產業設「資安長」,平均3成向CEO報告
根據勤業眾信聯合會計師事務所發布「2021年網路資安大調查」發現,美國資安長直接向企業CEO報告的情況,從2019年的32%提升到2021年的42%、全球平均統計結果約33%,反映了公司高階主管對於資安的重視。
不過目前上市櫃資安長多由資訊長兼任,並未明確分開。若以工作職責來看,資訊長管理IT(Information Technology,資訊科技)與MIS(Manager Information System,管理資訊系統)系統等企業後台系統維運,資安長則負責企業組織資訊與資料的安全。簡言之, 資訊長推動資訊系統使用的便利性,資安長類似踩剎車的角色,兩者本質不同,卻也相輔相成 。
依各產業不同的性質,資安長所關注的資安議題也不盡相同。
台泥集團近年積極布局新能源事業,在2021年完成跨國併購義大利儲能公司NHΩA,台泥集團資安業務交由子公司「台泥資訊」負責。台泥集團資安主要負責主管、台泥資訊資訊處處長張年旺表示,現階段公司關注三大資安面向,第一是優先把收購的公司整合到集團內部,兼顧跨國資訊交換的便利與安全性;第二因應遠距辦公趨勢,確保員工遠端登入公司網路的安全性。第三是供應鏈管理,檢視供應商作業流程是否有資安疑慮,如資料交換的保護措施,以及金流交易是否合規。
對零售業來說,除了資安,更涉及到人身安全的議題。國內百貨龍頭新光三越於2018年8月設立「安控長」一職,是台灣首家設立安控長的百貨業者。所謂「安控」涵蓋資安、公安、職安、食安、工安,就連防疫也歸類為環境安全的一種,幾本上所有跟安全相關議題,都納入安控長管轄的範圍。相較於「資安長」主要管理資訊等IT虛擬面的安全,「安控長」職責更廣泛,虛擬與實體的安全都要兼顧。
新光三越安控長馬振華指出,「新光三越擁有超過260萬會員,加上大量的消費資料,以及員工與廠商往來的資料都需要作保護,接下來將取得國際隱私資訊管理標準ISO 27701認證。」此外,安控長每月都要召開安控會議,由安控長訂定安全規範,各部門負責執行。
對資安長來說,工作範圍涵蓋政策面、技術面。 以政策來看,各公司在資安政策與管理都要參照國際標準,像是金管會要求各大金融業取得ISO 27000系列認證;資安也納入ESG公司治理上,被要求取得第三方認證,張年旺表示,ISO 27000就高達逾百項檢核內容,檢查公司在操作IT設備上有無按資安規範來做。
在技術方面,為研究駭客攻擊手法、強化資安保護技術,張年旺指出,資安有80%建置在資訊基礎架構上,包含主機管控、防火牆、人臉辨識等技術,像是台泥為預防員工中釣魚郵件,光郵件保護就做了6道,以防駭客攻擊。並隨時因應公司規模擴大或是工作流程的改變,規畫新的資安架構。
資安長重要特質:跨部門溝通能力
「 資訊服務是串聯各部門的重要神經,資安又站在資訊之上,確保資訊在執行的過程中是安全的。 」張年旺指出,資安長需要大量的跨部門溝通,像是為保護資料將資料加密,就會造成各部門使用不便,資安人員藉由教育訓練的方式,協助同事在日常辦公落實資安防護。
事實上,不少資安事件的發生,往往是內部同事沒有落實相關資安規範,因此教育訓練很重要。資安人員也要主動提供同事協助,甚至是告知過往資料外洩的實際案例,提升同仁的資安意識,「資安人員的重要特質是『善於溝通』,讓同事理解這是為保護公司的做法。」張年旺強調。
在各公司人力資源有限的情況下,企業如何找到資訊與資安的平衡點,除了設立企業最高資安負責人資安長外,金管會也要求上市櫃需設立資安專責單位,包含資安專責主管與資安專責人員,來提升企業執行資安的獨立性,減少被駭客攻擊的機率。
責任編輯:林美欣
