【臺灣資安大會直擊】企業要設立資安專責單位，應先考慮的3大資安管理建議

資安議題已是各企業無法避免的挑戰和考驗，為抵抗資安威脅，許多企業紛紛設立資安專責單位，訂定資安出錯率的容許度，還有列出資安業務清單，來擬定資安組織的目標和策略地圖。不過，中國文化大學推廣教育部數位科技中心主任陳仁偉認為，企業應透過管理思維，來訂定資安組織的目標和策略。

陳仁偉是中國文化大學推廣教育部的資訊主管，近年他致力於發展一套將資安融入企業架構的方法論。他在臺灣資安大會中，分享了多項資安管理思維的建議。

第一建議是，陳仁偉指出，企業要建立資安管理思維框架，來探索資安問題。他解釋，建立管理框架除是為因應法規需求，更重要的是，採取監督管理的積極作為，來確保所有作業符合SOP，達成零缺失的目標，並可搭配滲透測試，找出資安不足之處。

他建議企業，獨立第三方驗證（Independent Verification and Validation，IV&V）也必須要納入管理框架。他解釋，由第三方協助管理，更可確保每個驗證業務項目，環環相扣，達到零缺失的目標。所以，他強調，建立資安管理思維框架的目的就是，要看清楚資安問題。

第二建議，資安單位必須超越單一的法遵，打造整合式資安管理制度。陳仁偉解釋，法律是道德的最低標準，同樣地，法遵是資安作為的下限。因此，企業通過資安法並不能代表，一切沒有問題，換句話說，企業只依資安個資相關法遵，來採取對應的資安作為，是不夠的。他建議，企業構思資安作為時，結合相關標準制度，進一步建立整合式資安法遵體系。

他建議，企業至少整合三項標準，包含了品質管理標準ISO 9001認證，還有資安管理認證標準ISO 27001作業規範，以及隱私保護與個資管理ISO 27701標準，從三面向打造資安管理制度。其中，陳仁偉建議優先導入ISO 9001，有系統地規畫應執行的工作方向，確認內部整體作業的每一項流程。

「企業若無法盤點和標準化組織作業流程，便難以規範資安制度」，他補充，就像個資管理，若流程反覆變動，就容易出現資訊的變動性風險。企業先導入ISO 9001品質管理認證，確立整套作業流程之後，才能了解各流程潛在的漏洞，進行風險分析，接著，再導入ISO 27001作業規範和ISO 27701標準。

不過，要將這三項標準整合管理和驗證，還需跨部門整合。陳仁偉表示，因資安多由資訊單位負責，個資通常是法務單位負責，而品質則是由研考或品保單位負責，因此需要跨部門整合，才可以結合不同的標準，打造整合式資安管理制度。

他進一步提到，許多人認為資安是資訊部門的事情，但，這必須改變，只有資訊部做好資安是不夠的，資安是企業全員的責任。有鑒於此，他提出了下一點資安管理思維的建議，將資安作為融入組織作業，建立無感常民資安文化。

資安作為需全面落實到組織流程，首先從流程改造開始

陳仁偉將企業所有人都具資安意識的組織文化，稱之為常民資安文化，而要做到這樣的資安程度，他表示，需先進行組織流程再造，讓每位企業成員皆能在日常作業中，融入資安作為。而何謂「無感的」常民資安文化？他則表示，就是低負荷的文化，讓人員不需做很多額外的資安工作，即達到資安效果。

他進一步說明如何建立常民資安文化。企業檢視既有流程後，需依據資安需求重新定義企業的作業流程，再將符合資安要求的作業流程列入ISO規範，也就是配合ISO 9001認證。接著，透過監管和稽核兩個動作，來確保作業流程符合資安規範。陳仁偉說明監管與稽核的差異，監管是由內部人員隨時監督管理作業流程，確保運作機制符合資安規範，而稽核則是定期由外部人員來檢查流程，確保機制未違反規範。

而一旦企業在監管與查核過程中，發現問題，則需立即進行作業流程修正。陳仁偉表示，如此，便可打造低負荷的常民資安文化，「簡單來說，讓企業成員沒有任何資安犯錯的空間。 」

陳仁偉強調，企業設定的資安目標不應是負責組織資訊安全，也不是業務清單，更不是資安出錯率，而是導入資安管理思維，來建構零缺失的資安環境，還有打造整合式資安管理制度，以及建立組織常民資安文化等。文⊙黃郁芸