【圖解】資安長CISO要具備什麼資格?職責是什麼?企業資安長一次解密

數位時代

2022年11月,鴻海延攬曾任台北市政府資訊局局長的李維斌,擔任資安所所長;12月,台積電宣布,原資深副總經理林錦坤擔任資安長⋯⋯。陸續聽聞企業宣布「資安長」(CISO)人選的消息,這不僅僅源自於企業對於資安議題的重視,更關鍵的是所有人都必須遵循政府的一道法令。

金管會法規規定,1,367家上市櫃公司都要設資安長(CISO)!

早在2021年年底,主管機關金融監督管理委員會(以下簡稱金管會)正式發布「公開發行公司建立內部控制制度處理準則」修正草案,要求上市(櫃)公司依照營運的規模與業務情況,如期配置一定比例的資安人員。

依照該修正草案內容,在2023年年底前,1,367上市(櫃)公司,只要近3年都呈現獲利狀態,且最近年度財務報告每股淨值未低於面額者,都必須完成設置資安長與資安專責人員

如此看來,「強化資安防禦」不能再只是空喊口號,應盡快成為企業經營中的重要一環。但這群資安人才究竟從何而來?他們實際上任後該做什麼?他們在工作過程中會遇到什麼樣的挑戰?

資安長要做什麼?需要具備什麼能力?

根據台科大資管系主任、資通安全研究與教學中心主任查士朝,「資安長」需要具備以下4種能力:溝通能力、危機處理能力、擁有法令遵循相關知識、以及擁有資安基礎知識

資安長必備能力一:溝通協調

「資安長需要懂得向上管理,比如向董事會報告目前企業內部的資安狀況與績效;也經常需要跟身旁其他單位橫向溝通,不能一開口就像是故意挑人家毛病。」查士朝指出,「溝通協調」將會在資安工作中占很大的比重。

那麼如何有效說服老闆、同事投入更多資源在資安防禦?查士朝回應,一種方法是向老闆提供客觀的參考指標,比如同產業Top 10公司分別在資安投資上花費多少經費,且能夠依序達到PR75、PR50的防禦效果;另一種方法是自訂資安防禦能力指標,舉例來說,當資安事件發生時,本身有信心在8小時內讓系統恢復運作。

「(資安長)不需要一直向老闆強調意外事件的數目,畢竟總是會有意外發生,你這樣只是把自己弄得壓力很大。」查士朝提供建議。

資安長必備能力二:危機處理

至於「危機處理能力」不難理解,因企業資安遭駭往往猝不及防、如同緊急危機事件發生。當危機來臨時,便直接考驗公司及其資安人員的應變能力,及其能否快速釐清問題並且提出解決方案。

資安長必備能力三:法遵及資安基礎知識

另外像是「法遵相關知識」與「資安基礎知識」,同樣屬於資安工作必備的硬技能。「打個比方,我們總是說要看懂財務報表分析,才能幫助公司經營與投資;以資安來講,要有能力看懂資安檢測報告,了解弱點掃描、滲透測試的結果,才能知道企業的資安問題在哪裡。」查士朝接著提出企業資安主管的職能項目,提供各企業參考(整理如下圖)。

資安人才稀缺,去哪找?企業該如何應對?

「做資安需要一定的投資。」台灣第一家提供攻擊型資安服務的公司戴夫寇爾(DEVCORE)共同創辦人暨資深副總徐念恩分享,因時常扮演企業外部的資安管理顧問,他同意企業需要不間斷地投入人力、時間與經費在資安防禦上。

然而,「找不到資安人才」是目前常見情況。根據iThome的調查數據,2022年企業資安人力需求缺口近5,000人。有鑑於此,半導體製造業、資通大廠、金融產業、電信業、電商平台無不砸重金找人,甚至互相挖角資安人員。在這波「搶人大作戰」中,《數位時代》觀察到幾家企業略顯疲態,也發現部分產業處於相對弱勢。

企業如何在短期之內解決「人才荒」問題?查士朝指出3種人才來源: 警察單位法遵單位 ,或者 從企業內部的資訊部門培訓

前2種管道,提供給經費充足的企業參考;至於資安預算有限(甚至不足)的企業,比起祭出高薪搶才,更需要注意的是「有沒有充足經費購買資安設備」。

「巧婦難為無米之炊,光有人是不夠的,你(企業)要有裝備才能做好資安。」查士朝因此建議,部分企業可以嘗試從內部的IT部門培訓出資安人才,並且優先把預算放在資安稽核(意即讓作業程序、系統安全達到認證標準)、導入網頁應用程式防火牆,這會是較合適的資安策略。

為了更深入了解企業資安長的工作環境與挑戰,《數位時代》拜訪3位來自不同產業的資安長,分別是:台新銀行資安長陳詰昌、新光三越安控長馬振華、彰基醫院資安中心主任粘良祁,訪談內容在後續篇幅一一展開。

延伸閱讀:
台新銀行資安長陳詰昌:沒有英雄主義,只有團隊作戰
新光三越安控長馬振華:做資安,千萬不能自滿!上任5年揭最大挑戰
彰基一張檢核表,喚起全院資安意識!駭客「無差別攻擊」,智慧醫院變肥羊?

責任編輯:林美欣

更多報導
格上租車也傳個資外洩,1萬多人受害!格上火速回應:資料庫無異常下載
微風個資外洩,經濟部、數發部組調查小組要查!誰讓90萬會員個資曝風險?
格上租車也傳個資外洩,1萬多人受害!格上火速回應:資料庫無異常下載