政府對於上市櫃公司需要設立資安長及資安專責單位的政策已經滿周年，許多企業的資安部門的工作挑戰都逐漸浮現。數位時代創新長黃亮崢 James，邀請台科大資管系兼資通安全研究與教學中心主任查士朝，來和大家聊聊業界的資安長與資安專責單位的現況。

一個合格的資安長除了要有良好的溝通能力、危機處理能力並能掌握與產業相關法律，同時要能理解基礎的資安技術，要看得懂資安報導、資安健檢、弱點掃描等資料。現階段有許多企業會從警政單位、法務/稽核/內控、或資訊部門來尋找適合的人才。

一般大型的資安團隊需要的人才大多分為三類。第一類「管理、稽核」，偏程序面，直接由內部訓練，短時間補充稽核、資訊管理相關知識並考取證照即可；第二類「事件監控與處理」，需要監看缺口漏洞，人才訓練不易，目前缺口最大；第三類「資訊系統跟安全管理」，此類人才大多可由資訊部門延伸。

對於小型公司而言，建議可先將資安經費放在資訊安全管理與稽核，而技術的部分可交由資安人員協調資訊部門做處理。

由於資訊安全的防守相關教育，需要花費高昂成本，而且內容較為複雜，所以學校的資安教育大多還是專注於攻擊方，然而企業大多是需要防守方的人才，因此，目前資安相關職缺仍存有斷層。

向上管理是資安長相當的重要的任務之一，組織需有效衡量資安績效指標。在說服上級購置資安設備時千萬蹩與去年的預算比，可以試著調出同產業的資安預算做參考依據，也可以比較擁有新資安工具時，能夠提升多少效率，又或提出其在企業的覆蓋率，提出資安部門希望多做些什麼來提升整體的營運安全。

//
❓你有發現你的顧客變了嗎？
做生意的方式不能一成不變，擁有與時俱進的商業模式很重要

【5/17 數位新商業論壇：商業模式大革新】
活動官網：[http://bit.ly/3ZuGfCi][1]
獨家優惠，點此購票：[http://bit.ly/3MaWuBs][1]

[1]:

[1]: