【2023資安趨勢5：CISO】有獲利的公司，年底前都要設立資安長

面對2023年，資安長（CISO）需要關注的趨勢有哪些呢？我們可以從法規遵循、管理業務，以及技術等三個層次來看，以法遵的要求而言，依照金管會的規定，只要是公司有獲利，在2023年底前，都必須依法設立資安長（或是金管會新聞稿指稱的資安專責主管），以及設置至少一名資安專責人員。

只要公司有賺錢，都要設立資安長和資安專責人員

在2021年底，金管會在公告修正「公開發行公司建立內部控制制度處理準則」（簡稱處理準則）時，將臺灣近千家上市公司和近八百家上櫃公司，區分成三個等級，其中，符合第一級規定的企業有113家，包括：資本額100億元以上；前一年底屬於臺灣50指數成分公司；藉由電子方式媒介商品所有權移轉或提供服務（如電子銷售平臺、人力銀行等）收入占最近年度營業收入達80％以上，或占最近二年度營業收入達50％以上者。符合上述三項規定的公司都是臺灣最賺錢的企業，依據法令要求，應該都已經在2022年底前，設立資安長和成立至少兩名資安專責人員的資安專責單位。

至於其餘1千6百多家的上市櫃公司，除去第一級113家上市櫃公司，只要最近三年度的稅前純益沒有連續虧損，且最近年度財務報告每股淨值未低於面額者，都是符合第二級規定的公司，都必須在今年（2023年）底前，依法設立資安專責主管和至少一名資安專責人員；若是最近三年稅前純益有連續虧損、或近年每股淨值低於面額的第三級公司，金管會則是鼓勵企業設置至少一名資安專責人員。

從處理準則的規定來看，只要公司還有獲利、還有賺錢的能力，這上千家公司都必須在2023年底前，依法設立資安專責主管（統稱資安長），以及至少一名資安專責人員；但如果是營運虧損的公司，金管會則是採取鼓勵措施，希望公司至少能夠設立一名資安專責人員。

資安事件造成上市櫃公司重大損失者，依法要發布重訊

主管機關要求公司設立資安長，主要是因為資安事件已經和公司營運脫離不了關係，這也可以從證交所於2021年4月27日修訂「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」來看。

在該法第4條上市公司重大訊息中，原本第26項只規定：發生災難、集體抗議、罷工、環境污染或其他重大情事，都必須發布重大訊息。以往證交所雖然將資安事件歸類為其他重大情事，但往往因定義不明確，反而容易讓企業鑽漏洞，不論資安事件嚴重與否，都被認為屬於企業的機密而不願公開揭露。但是，藉由修訂第4條第26項後，不僅將資通安全事件明訂在法條中，而且該修法效力則是公布後即刻生效。

自此之後，上市櫃公司一旦發生資安事件，符合「造成公司損害或重大影響者；經有關機關命令停工、停業、歇業、廢止或撤銷污染相關許可證者；單一事件罰緩金額累計達新臺幣壹百萬元以上者」都必須發布重大訊息。

只不過，2021年修法後，根據安碁資訊統計，2021年因為發生資安事件而發布重訊的企業有14家，而2022年則有8家。因資安事件而發布重大訊息的企業看似減少，但這並不意味資安事件變少，往往是許多企業對於「造成公司損害或重大影響者」的定義各有不同所造成的現象，例如，駭客如果對企業官網發動DDoS攻擊，這種DDoS攻擊是否會對公司造成損害或重大影響，往往會因為這家受駭企業的產業形式不同，對於損害範圍而有不同定義，像是對電商官網發動DDoS攻擊造成的損失，一定會比攻擊只是呈現資訊的公司官網損失大，但能否就能肯定，DDoS攻擊對公司官網不會帶來營運衝擊呢？這中間的分寸拿捏，往往就是企業是否願意發布重訊的關鍵。

所以，2023年上市櫃公司如果因為發生資安事件必須要發布重大訊息時，如何評估該起資安事件對企業造成的影響程度有多深，範圍有多大，這是多數企業的資安長，必須做到心中有底的法遵要求。

資安長要懂得和業務連結，要讓公司活下去

身為鴻海研究院執行長，同時也是鴻海公司資安長李維斌表示，2023年對資安長最重要的事情就是「活下去」，因為國際情勢複雜、地緣政治因素，加上各種通貨膨脹等經濟議題，都是企業在2023年公司獲利必須面臨的重大挑戰。

一旦發生重大資安事件，就會對公司營運帶來損失，但資安長如果不懂公司的業務，就無法判斷資安事件對公司營運影響的範圍有多大。所以，李維斌口中的「讓公司活下去」，其實背後所隱含的意義就是：公司的資安長，對於公司業務也必須有掌握的深度和力度。

安永風險顧問公司總經理萬幼筠，更以簡單一句話概括資安長在企業內部應扮演的角色，「資安長要做的事情就是企業經營。」所以，除了符合法遵要求，作為稱職的資安長，必須能夠定義資安角色與職掌功能，也要了解企業面臨的風險並連結績效指標，最後更要知道如何配合業務發展策略，投入相對應的資源。

也就是說，身為企業高階主管的資安長，已經不能和以往定義的資安部門主管一樣，只偏重資安技術和縱深防護而已，因此，當資安長是由公司更高階的主管擔任時，思考的角度也從傳統的技術思維，必須進一步轉變成公司營運的思維才行。

萬幼筠也提醒，供應鏈安全應該是融合在所有資通訊產品中，尤其近期歐盟通過許多法規，臺灣有許多全球重要的代工大廠，除了品牌客戶對代工廠的各種資安要求外，各國對資通安全產品法規的要求，也應該成為供應鏈安全的內容之一。

例如，德國在2017年針對電動車和自駕車等供應商，通過汽車安全訊息評估交換平臺TISAX的規定，未來要進軍歐盟汽車供應鏈的製造商，都必須符合TISAX規定，如果相關汽車供應鏈業者的資安長，能更早掌握相關規定，就可以有餘裕促使公司合規、提供公司的競爭力，進而提高公司的營收。

掌握資安技術和韌性，讓公司活得好也活得久

資安長不只要懂得讓公司活下去，也要懂得讓公司活得好，也活得久。第一金控資安長劉培文便坦言，疫後企業對數位變革及韌性的需求更加強勁，各項數位資訊技術，例如API、容器化、雲端、DevSecOps、SDN等，都必須要在第一天，也就是所有產品開發、服務提供和業務發展的一剛開始，就必須納入資安與韌性的設計，以往「先求有再求好」想法已經不符合時代的脈動需求，

另外，劉培文提醒，資安防護及作業本身也需要做到數位轉型與作業流程精進，他也說，以目前金管會及證交所制定對金融機構及上市櫃公司的各種資安管控要求後，未來要找到符合資格的資安專才，將會越來越困難。

金管會在2022年12月公布了「金融資安行動方案2.0版」，其中提到的重點包括：數位身分驗證等級國際標準（可參考ISO 29115）架構、零信任網路部署以及MITRE Engage等新的概念與技術，金融業則要提前佈局準備；另外供應鏈的安全也是未來需要注意的。

由於金融業是臺灣高度監管的產業，有許多的資安政策規範，都是金融業先行後，再廣泛適用於其他產業，因此，「金融資安行動方案2.0版」中所揭露的技術重點，也可以作為其他產業資安長的參考。

萬幼筠表示，資安長掌握技術並做到公司有韌性、營運不中斷外，也要擺脫以往資安長只做稽核檢視的舊觀念。他進一步指出，現代的資安長要打造一個立體呈現網路安全的資安建築藍圖，不僅要納入公司合作的上中下游廠商，也必須搭配公司組織架構、管理制度和相關技術才夠完整。