2023臺灣資安大會特別報導：給1000位資安長的上手指引

為提升上市櫃公司對資安的重視，我國金管會、證交所與櫃買中心從前年開始，已持續推動相關規範與措施，今年2023焦點在第二級公司，尚有1,100多家公司年底要完成資安人力設置（資安主管及至少1名專責人員）

一位稱職的資安長，不只要會識才，還要塑造良好的工作環境與當責文化。在實務上，則要留意數位鑑識與私部門調查的差異，且不論是否交由公部門調查，企業內部調查都應以「最終會上法院」的原則來進行調查，這樣才會要求自己遵守嚴格的程序，同時保障企業私有資產。

各界奉為圭臬的資安框架CSF，要將治理（Governance）納入新版本，預計明年公布CSF 2.0。面對這個趨勢改變，鴻海集團資安長李維斌點出，資安長也得轉變思維，將自己視為業務夥伴，來提高組織面對不確定性的冒險本錢。

資安意識培訓計畫，常常難以吸引員工積極參與，因此淪為一次性課程，無法真正培養安全行為習慣。資深顧問認為，承辦人應依照企業和受訓部門特性，來設計多元且客製化的課程

將資安納入研發團隊的日常工作和思考過程不容易，Line臺灣資安團隊透過開放溝通、團隊同步與凝聚所有人共識方式，共同應對資安挑戰。

協作軟體於企業日常工作中不可或缺，卻成為駭客攻擊的一大目標，如何訓練員工辨認出常見社交工程手法，是資安長不得不注重的課題

企業在既有的IT架構下，如何著手建立零信任架構，專家從NIST SP800-207提出的7項原則、6項假設前提、10項網路需求，以及Google BeyondCorp、Netflix、微軟、國防部分享的實作經驗，剖析如何引導建立零信任網路。

相較於企業委託外部資安檢測團隊，企業成立自已的檢測團隊，可配合企業自身的需要，從攻擊方的角色來看，設計檢測範圍、項目，檢測產品的安全性，以及企業整體的資安防護。

在去年美國前眾議院議長裴洛西訪臺期間，中國網軍展開一系列的攻擊行動，癱瘓政府網站、網路設備，顯示出他們攻擊目標的多元化以及攻擊手法的底層化趨勢。

面對駭客多變攻擊手法，企業資源未必有能力一次將資安防禦做到位。如何確定資安措施優先執行順序，重點是掌握威脅情資，根據駭客攻擊模式來規畫防禦。