金管會規定上市櫃公司年底應設「資安長」，但資安長的職責與角色目前還很模糊

為強化資安管理，去年金管會公布「公開發行公司建立內部控制制度處理準則」修正草案，依照公司規模及財報表現明定 3 層級資安編制要求，111 家資本額達百億以上，或前一年底屬台灣 50 指數成分的上市櫃公司，須在今年年底底前設資安長及資安專責單位。

不過，面對這個新的規定，很多企業依然顯得很茫然。資安長的角色到底是什麼？與原本的資訊長有何不同？什麼樣的人才才能夠勝任資安長？其實並沒有一個標準。

針對上市櫃公司「資安長」這個新的角色問題，其實目前各行各業都在找答案。而先前日本政府也「建議」企業應該設立資安長，經驗或許可以做為參考。

近日台灣微軟由 Microsoft 365 事業部副總經理朱以方，向媒體分享台灣產業資安現況，亦邀請日本網路安全創新委員會代表理事梶浦敏範 Kajiura Toshinori，以及微軟亞洲首席資安長花村実 Hanamura Minoru，闡述日本企業設立資安長的過程與經驗。

日本資安長的職責

梶浦敏範先生除了擔任日本網路安全協會主席，亦是日本經團連資安工作協會小組主席，分享日本目前網路安全三大課題：日本網路安全現況、數位轉型注意事項、日本資安長的職責。

1.日本政府的資安戰略：政府提出針對全體人員資訊安全對應（cybersecurity for all），包含推動數位轉型、資安議題、安全保障計畫等，以及最重要的資安意識養成。經團連組織特別翻譯針對企業經營資安的手冊，以簡而易懂的案例方式向企業說明資安的重要性，以及如何部署資安。同時，日本產業成立「供應鏈網路安全聯盟」，聯盟核心成員超過180個組織，目的是提升中小企業資安意識，並讓他們和大型企業交流討論。

2.數位轉型和資安兩者在企業成長中同等重要：日本政府鼓勵企業，數位轉型和資安要同步進行。數位轉型過程中，數據持續發展新的應用方式，就會有資安風險出現，資安長的角色和職責也從守備擴展到商業模式上，企業若將數位轉型視為獲利來源，資安即為必要之投資。

3.資安長職責轉變：以往的企業資安長「1.0版」以防禦為導向，找出資安風險、制定資安計畫、對應資安事件，以及對外的資安報告等，現在資安長「2.0版」，是攻擊型的資安長，主要接觸和業務有關，與事業核心有關，幫助經營者與顧客、市場及股東說明資安投資、預測資安風險，改革並引導企業資安方針。

對企業資安的建議與準備

微軟亞洲首席資安長花村実，分享微軟資安團隊為企業資安提出的準備與建議事項：

1.資安訊息的透明與共享：在過去的一年，網路犯罪經濟蓬勃發展，與網路犯罪活動迅速崛起，全球網路安全複雜性日益增長，攻擊事件頻繁且「升級」，微軟認為透明度和訊息共享對於保護生態系統至關重要，資安人員需要對他們正在防禦的威脅，隨時取得多樣化和及時的洞察。

2.勒索軟體的攻擊升級：全新的勒索軟體模式已擴大成企業型規模，結合攻擊技術和勒索商業模式，人為操作的勒索軟體改變了資安動向，若企業忽視勒索軟體的風險，將面臨組織潰散與營運損失的修復成本。

3.資安長角色位階提升：資安長和資安團隊，會隨著經營者的決策與企業文化，而提升其權限和成熟度，當資安長能以業務和戰略為導向，將能有效抑止企業面臨資安風險。

4.雲端平台對資安的優勢：以雲端平台部署資安解決方案有顯著的優勢。微軟在5年前即擴大資安相關投資至200億美元，結合人員、流程和技術，透過持續監控數百萬網路活動記錄、安全事件訊息，更新使用者行為分析，即時檢測並統計異常，幫助識別潛在的危害發生。

5.  零信任的重要性：基於網路與數據的複雜度提升，企業必須全面考量設備及使用者身份識別安全，零信任策略不僅能保護資產不受攻擊，更同時提升企業資安與生產力。因應年初金管會公布強化上市櫃公司對資安防護，要求台灣上市櫃公司設立資安長與資安專責團隊，台灣微軟在4月將為企業啟動 CISO Salon 計劃，讓企業的資安團隊藉由此平台齊聚學習、交流與分享，內容涵蓋技術法規、市場趨勢，及人才培育。