防禦第一線！上市櫃「資安長」與資安治理

【文．徐俊賢、莊蕎安】

年資安攻擊和個資泄露事件頻傳，已嚴威脅到企業的運作和聲譽。金融監督管理委員會於 2021 年底規範上市櫃公司應分 級設置資訊安全人力，推動上市櫃公司設置「資安長」（Chief Information Security Officer；CISO），以提升 整 體資安防護能力。而「資安長」必須綜理資訊安全政策推動與資源調度，並帶領資安團隊負責資訊安全相關工作；簡言之，「資安長」並不是單純的技術職位，而是一個參與公司治理的高階職位，必須協助企業高層將資安議題融合至公司的整體策略和風險管理，並充分與其他部門合作，逐步建立企業的資安文化。所以「資安長」不僅需要專業的技術知識，更需要有跨部門合作和領導的能力。

然而，在推動「資安長」設置的過程中，企業面臨實際的困難，例如資安專業人才整體不足、懂得企業特性的資安人才更是鳳毛麟角、建立資安體系需要大量資源的投入並改變內部人員操作習慣等。根據臺灣證券交易所近期公告（統計至 2023 年 4 月 30 日止）的資料中顯示，除資源較爲豐富的第一級上市櫃公司已按預期完成「資安長」設置外，第二級上市櫃公司「資安長」的設置進度則僅有兩成，不盡理想。企業在推動資安的進程上，顯然面對相當大的挑戰，必須審慎面對並努力克服。

全球資安威脅催生「資安長」

合格人才缺口大、培養不易

從外部駭客的勒索軟體、釣魚郵件、分散式阻斷服務攻擊（DDoS）、零日攻擊（Zero-Day），到內部人員的疏失或惡意行爲，企業正面臨越來越多元和複雜的資安威脅，一旦攻擊成功都可能對企業造成嚴重的損失和影響。

根據IBM近期的資料外泄報告（Cost of a Data Breach Report）， 今（2023）年全球平均每起資安事件所造成的成本高達 445 萬美元，較過去三年增加 15％，資安事件導致的損失已成爲企業必須面對的重要議題。

爲了因應潛在的資安風險，企業需要建立一套完整而有效的資安管理制度，以保護企業的資產、資訊、客戶和聲譽等，而這些制度必須仰賴「資安長」的帶領，才能凝聚共識並逐步落實。然而，經過初步統計，僅在近期推動上市櫃公司資安強化過程中，就導致臺灣市場上出現大約 2 萬個資安人才的缺口，突顯出企業在資安管理上面臨的嚴峻挑戰。

目前幾乎所有的企業均已高度資訊化並逐步展開數位轉型，在導入雲端技術與人工智慧等新興科技同時，必須將資安管理融入企業策略、組織、文化及法規等面向，亦即，資安管理必須嵌入企業的治理，才能 發 揮 最 大 的功效。因此，企業設置專責「資安長」負責規劃、推動和監督資安治理，迫在眉睫；但是要培養出合格的企業「資安長」卻不是一件容易的事。

【完整內容請見《會計研究月刊》2023.10月號】