企業安全意識升高，專責資安人崛起

隨著企業資訊化程度的提升，同時也帶動企業的資安需求，這幾年資訊安全事件層出不窮，讓企業驚覺資安事件甚至可能影響到企業生存，讓企業開始重視資安管理（Security Management）和災難緊急應變，紛紛設置專責資安主管或成立專責的資安部門或組織。

設置專責資安主管的風潮起於美國
美國可以說是這類資安主管制度的發源地與建立者，需求出現的原因很多，一方面是很多企業高度仰賴資訊系統，一旦發生任何資訊安全事件，都有可能危及企業生存，為了延續企業營運，安全管理這件事情就必須藉由一個熟悉資安的專業人士來擔任，也就出現所謂的資訊安全官 (Chief Information Security Officer，CISO)，多是設置在資訊長（CIO）之下。

不過，一開始所謂的資訊安全官，通常只管與資訊安全相關的部分，工作範圍多像是主導系統或產品採購，資安設備的建置與維護，監看流量紀錄（log）、漏洞偵測、修補程式更新與管理、應用程式的限制與使用，帳號密碼與存取權限管理及資安教育推廣等等，從資安的角度去看企業營運與作業流程，逐漸向上提升到層級更高的企業資安政策制定。

至於門禁、保安、監視、消防等「實體安全（Physical & Environmental Security）」，甚至是資安或洩密事件偵查與糾正，就不在CISO的管轄之內了。

CSO逐步發展成專責的獨立團隊
另一個推動資安專責化的說法，是因為2001年911恐怖攻擊事件的發生，讓美國舉國上下驚覺危機應變重要性，每個人的「安全」意識因而提到最高，包括每一洲的聯邦政府都設有專責的資訊安全官，管轄的範圍就大很多，通常不僅止於資訊安全，包括資安政策的提議或制定，甚至是網路犯罪、機密洩漏、恐怖攻擊、災難預防的應變與偵查、災害的應變演練等等，範圍等同「國家安全」。

這也影響到一般企業對安全的態度，讓2002年開始被提出的安全長（Chief Security Officer，CSO）逐年成形，除了職權與執掌比CISO更加廣泛，職位層級已經超越資訊長，通常直屬於執行長（CEO）、營運長（COO）或財務長（CFO），甚至是直接向董事會報告，職權獨立並擁有專屬工作團隊。

再加上沙賓法案（Sarbanes Oxley Act）的推波助爛，都讓安全長的重要性大大提升，權責涵蓋企業內所有部門，工作範圍包括企業安全（Corporate Security）、防護執行（Executive Protection）、資訊安全（Information Security）、環境檢查（Background Checks）、災難應變與復原（Disaster Recovery）、詐騙防範（Fraud Prevention）、安全政策與企業倫理、隱私權保護等等。

企業安全就涵蓋實體安全（Physical & Environmental Security）、人事安全（Personal Security）與資訊安全 （Information Security），其中還包含資安政策制定、法規遵循、強制執行等等，而強制執行的工作甚至讓安全長等同於企業內的檢調首長，透過獨立專責的組織，進行內部監控、稽核、偵查、蒐證與懲辦工作。

安全專責觀念新，安全主管定義未明
不過，安全專責的觀念還很新，就算引領風潮的美國，也還未明確定義安全主管的權責，安全主管的職稱有很多種，除了安全長與資訊安全官，還有像是安全經理和安全總監，而且在職稱、權責、層級、組織、管轄範圍等界定上，也都還沒有定論。

即便是「現在進行式」的安全主管們，對自己工作的範圍和定義也莫衷一是，方式與範圍也多是「邊做邊學」。不過，普遍認為，安全管理組織必須是獨立編制，主管位階不能太低，才能達到應有的功能。

安全長與資訊安全官多以有沒有整合實體安全與資訊安全作為分野，安全長的工作界線也常常跟資訊長、風險長（CRO）或隱私長（CPO）相互混淆，與資訊長的分工多將安全管理範圍跨大到企業其他部門，與風險長的分工則是釐清財務風險與作業分險的權責。

根據CSO雜誌2004年對美國企業所做的「CSO的地位」調查顯示，資訊系統成為企業業務核心，也讓企業安全與資訊安全的界線越來越模糊，但可喜的是，與前一年相較，重視資安的整體程度大幅提升、預算也跟著提高，主管的層級也被正在被提升中。

至於安全長能否受到企業重視，則受到回報機制、背景經歷、薪水、預算、責任歸屬、員工需求、委外範圍、「整合異己」與風險管理等多個因素影響。但是各個產業對資安態度大異其趣，金融業還是跟隨這個制度的主流產業，醫療與政府則是奮力跟上。

資安主管職務、層級與組織、架構都處於發展期
臺灣也已經看出這樣的趨勢，在產業別上，安全長制度大多先出現在金融、電信、高科技與政府單位等。目前臺灣企業設有專責安全長的可說是鳳毛麟角，高科技產業以臺積電、聯電為代表，電信業則有遠傳、臺哥大，金融業除了新光金控，其他多成立類似的專責部門，像是第一金控的安全管制部。宏泰人壽則是設有兼任性質的資安委員會，對內進行資安控管。這類企業，多是在導入BS7799／ISO17799安全標準後，以資安委員會進行後續監督、稽核與政策修正。

公家機關礙於人力缺乏，也多以兼任方式成立資安管理組織，像是司法院或工研院，不管是導入或仿效BS7799／ISO17799安全標準的架構，由各部門主管兼任資安委員，並由高層級的主管兼任召集人或委員長，突顯高層重視，上行下效，對於資安工作的推動有很大幫助。

由於行政院正大力推動資通安全，正是希望藉由國家層級的專責安全指揮機制，進行標準規範訂定、稽核與偵防、資訊蒐集分析、網路犯罪防範、技術支援、緊急通報與應變、資安教育與宣導等工作，以應付來自內部、外力、天然災害或突發事件的影響。據了解，目前資通安全會報的確正著手進行安全長與所屬專責組織的工作。

新聞小幫手>>CSO與CISO的差別？
根據CSO雜誌的定義，CISO還是比較偏向資訊安全的範圍，CSO則著重安全管理，涵蓋實體安全（Physical & Environmental Security）、人事安全（Personal Security）與資訊安全 （Information Security），包含資安政策制定、法規遵循、強制執行等等。成熟的組織更將「強制執行」列為重點工作與重要專業，安全長等同於企業內的檢調首長，獨立專責的執行單位，對於各個資安或洩密事件，具有內部監控、稽核、偵查、蒐證與懲辦的權利。

不過，也因為安全專責的觀念還很新，就算引領風潮的美國，也還未做出對CSO與CISO的明確定義，只是粗略的以有沒有整合實體安全與資訊安全作為分野，就像是資訊部開始分擔原本屬於總務部的工作，像是電力與電話系統，在資訊安全整合門禁保全等實體安全的趨勢下，CSO與CISO的界線也會越來越模糊。文⊙高雅欣