哪些企業需要安全長或資訊安全官？

根據2005年3月CSO雜誌，對313位美國企業安全主管所做的「CSO的地位」調查，受訪對象裡有16％是金融業、14％是醫療業、10％是製造業、14％是政府、6％是電信業及4％是教育業，其中設有CSO、CISO和VP以上資安主管的企業占42％，設有經理或總監等級的資安主管也占42％，給予的職稱與部門更是五花八門，像是隱私或法規遵循「長」，也出現政務官或軍職或顧問。

另外，受訪企業中，有23％的企業人數超過30000名，25％介於10000～29999名，44％介於1000～9999名，僅有7％是低於1000人。
總而言之，通常是數千到數萬人的超大型企業才有安全長需求，根據業務屬性與需求，安全長制度大多先出現在金融、電信、高科技、運輸與政府單位等等，臺灣也已經看出這樣的趨勢。

超大型企業才有安全長需求
歷經運輸、電信、摩天大樓安管到跨國金融業的徐子文表示，儘管安全長的工作範圍相當廣泛，認定也各有不同，實際權責比頭銜重要。也認為自己的工作有其「侷限」，只能朝跨國企業或特定產業發展。安全長的工作重點在於安全與風險管理，以延續企業正常營運。至於中小企業的安全層級不高，對於安全主管的需求當然相對低很多。

美國的發展來看，的確有越來越多超大型企業「富可敵國」，企業對經營風險的掌握就相當重要，不管是意外或災害、內部犯罪事件一旦發生，除了直接重挫商譽或股價，影響範圍跟後續社會成本都可能難以估計，這也讓安全長的權職越來越深入企業，甚至與企業的文化息息相關。

根據個別產業需求，安全長制度或組織各自發展
勤業眾信管理顧問副總經理萬幼筠指出，安全主管處於發展期，該怎麼做沒有定論，只要能降低風險，企業可以根據業務或作業上的需求差異，發展出各自的資安官制度或組織，各自在工作範圍與職權上做出不同區隔。

以金融業為例，過去的風險管理多侷限在財務面，作業風險中的資訊風險的部分，就是資安長發揮所長的地方，加上法規遵循與政策強制執行，都是金融業資安長的工作重點。至於高科技製造，除了生產線不能中斷，研發資料保密就是最重要的工作，所有的資安防護、人員管理與強制隔離等措施，都在這目的上打轉。

為了歸納工作範圍，企業通常會選擇導入安全認證，讓安全長或資訊安全官能夠「循規蹈矩」。萬幼筠認為，還是要看企業業務類別、個別需求及準備程度，如果沒有任何的資安管理基礎，或是導入的範圍太小或不對，都只會讓企業或員工視資安管理為畏途，畢竟導入認證的「繁文縟節」一堆，只為了拿證書，多是事倍功半，同時浪費時間、金錢、人力和物力。

這2～3年間，臺灣企業陸續設立資安專責主管缺乏資安人力卻成為企業最大問題。即便企業認同資安專責的重要，相信很多企業執行長或資訊長會問：人才哪裡找？臺灣光是資安專業人才就很缺乏，單獨一塊領域的專家都寥寥可數，有資安證照的多被資安廠商高薪延攬，更別說安全管理的通才了。

IT技術是「術」，人員安全觀念才是「道」
萬幼筠表示，光看CISO，涵蓋面就很廣，必須具備IT、資安、稽核、法律、財務、管理等背景，進一步來看，IT技術是資安的基礎，只是工具是「術」，工具可以花錢買，安全觀念才是「道」。

安全長的制度，將安全從資訊系統擴大到實體安全與人員安全，規畫能力、工作熱忱和工作績效評估等等，才是擔任否從事資安主管的重要特質。

也就是說，企業內的資安、風險管理、稽核、法務、財務，都有機會跨足安全管理。萬幼筠表示，現在企業多從顧問公司挖角，至少這些人已經具備資安的基本特質。對於這股趨勢，徐子文認為，資安人才由顧問公司跳槽到企業界，一段時間以後，再由企業界回到顧問公司工作，會是一個很好的培訓模式，就像是學校與企業的建教合作，除了可以讓專業理論落實，在企業端待久了，容易與與新資訊脫節，回到顧問公司就像是在職進修。

參考美國的發展趨勢，根據徐子文的觀察，美國安全主管的來源，不外乎軍方、檢調法務、情治單位、資安顧問等等，如果擁有管理碩士學位也加分不少，相形之下，安全長是否具有資訊背景反而不是最重要的，他建議安全長可與資訊部下的資訊安全官分工合作，資安技術的支援由CISO提供，讓各自的專長能夠互補。

當企業發生事件前，安全長並不像秘密警察般主動偵辦，而是在收到檢舉或是事件爆發後才進行調查，但平時就必須做好「蒐證工作」，為企業舉證。

他認為安全組織裡需要多元化的人才，除了要像牧師宣導安全教義，建立人員的安全意識，但這僅只是安全工作的第一步。尤其，安全長制度逐漸發展為企業內部調查與稽核的專責組織，部屬還得像檢調人員洞悉人性，性格則要像業務，具有親和力、能夠跟任何人攀談，以協助安全長掌握企業內部任何可能發生的風險。