Yahoo奇摩財經 
我見我思-資安治理第一步 善用督導角色
資安治理成為當今資安管理的熱門議題。美國證券交易委員會(SEC)於2022年修訂的《公開發行公司資安揭露》(Commission Statement and Guidance on Public Company Cybersecurity Disclosures),明定美國上市櫃公司董監事督導(Oversight)角色。年初,筆者為高科技集團資安治理委員會工作小組釋疑資安治理的範圍與本質學能。在中華公司治理協會安排下,設計董監事版本的資安治理實務課程。今年資安大會增闢資安治理時段,也以濃縮版內容與資安社群專家切磋交流。
在資安治理的課程研討中,最常被問到三個問題:角色權責、核心議題,以及組織價值。
●角色權責
資安治理和資安管理有何差異?資安治理好比樂團指揮,資安管理就是舞台總監。這兩者的角色缺一不可。樂團指揮的選曲反映樂團風格,給定表演者的節奏,並協調多聲部的樂隊;舞台總監則是樂團、劇場管理與製作團隊的溝通橋樑,包含燈光音響、演出動線,甚至觀眾視角的建議等。
然而,在資安的組織資源尚未到位,資安單位常見屬於IT部門。除了可能無法充分發揮資安管理的角色,期待資安管理(劇場總監)兼任資安治理(樂團指揮)角色,以資安治理涵蓋資安管理未竟之事。
●核心議題
除上述的未竟之事,到底資安治理有無自己的核心議題?當代國際資安治理議題為GRC(Governance Risk Compliance)。有別於其他GRC,資安GRC有其資安治理、風險與合規的特性。
國際資安標準ISO27001資訊安全管理系統ISMS(Information Security Management System)為常見的IT資安管理體系。除了ISMS,資安治理可能要涵蓋工廠資安管理體系CSMS(如IEC/ISA 62443資通安全管理系統 Cybersecurity Management System)。因應客戶需求、國際資安標準演進,未來還會有更多的資安管理體系需與資安治理建立連結。
從治理的高度,資安風險不僅是資訊部門,也涵蓋到全公司如研發、工廠、財務、採購等重要部門。這些相對應的軟體安全開發、工廠資安、財務面資安風險、外包/供應鏈資安等議題,逐漸受到國際客戶與政府的重視,浮出合約法規的檯面。
最後是國際標準與政府法規的合規。國際資安標準不再只有ISO 27001,還有隱私個資、工控資安,以及特定產業需求的車用資安、雲端資安、醫療資安等資安標準。
隨著國際客戶要求、政府法規與資安實務演進,合規面要將不同資安標準的改版、對照與差異,跟企業內部負責導入的部門與時俱進。
●組織價值
從角色權責與核心議題,資安治理提供有別於資安管理更上位的管理視野。不管是從董事會,還是資安委員會切入,資安治理展現高階主管推動資安的決心,就像是資安長的設立一樣。資安治理像是一把督導的鑰匙,以便解開跨部門的資安難題與挑戰。
資安不只是資安設備採購與人才培育,還要搭配組織的創新。藉由資安治理的實施,釐清全面性的資安管理核心議題(如資安管理成效),以及短中長期資安管理藍圖,打造資安技術背後的管理基礎。
