近年來,企業設置專屬資安主管的風潮,逐漸從美國吹到全世界,一向緊跟歐美腳步的臺灣,這幾年也悄悄興起一股企業設置資安專責主管或組織的現象,儘管這類企業占整體企業的比例仍低,而且多侷限在金融、電信、高科技等產業,卻反映出企業對資安管理需求正在逐漸增強當中。
.企業安全意識升高,專責資安人崛起
隨著企業資訊化程度的提升,同時也帶動企業的資安需求,這幾年資訊安全事件層出不窮,讓企業驚覺資安事件甚至可能影響到企業生存,讓企業開始重視資安管理(Security Management)和災難緊急應變,紛紛設置專責資安主管或成立專責的資安部門或組織。
美國可以說是這類資安主管制度的發源地與建立者,需求出現的原因很多,一方面是很多企業高度仰賴資訊系統,一旦發生任何資訊安全事件,都有可能危及企業生存,為了延續企業營運,安全管理這件事情就必須藉由一個熟悉資安的專業人士來擔任,也就出現所謂的資訊安全官 (Chief Information Security Officer,CISO),多是設置在資訊長(CIO)之下。
.哪些企業需要安全長或資訊安全官?
根據2005年3月CSO雜誌,對313位美國企業安全主管所做的「CSO的地位」調查,受訪對象裡有16%是金融業、14%是醫療業、10%是製造業、14%是政府、6%是電信業及4%是教育業,其中設有CSO、CISO和VP以上資安主管的企業占42%,設有經理或總監等級的資安主管也占42%,給予的職稱與部門更是五花八門,像是隱私或法規遵循「長」,也出現政務官或軍職或顧問。
另外,受訪企業中,有23%的企業人數超過30000名,25%介於10000~29999名,44%介於1000~9999名,僅有7%是低於1000人。總而言之,通常是數千到數萬人的超大型企業才有安全長需求,根據業務屬性與需求,安全長制度大多先出現在金融、電信、高科技、運輸與政府單位等等,臺灣也已經看出這樣的趨勢。
.資安管理績效如何評估?
要如何評估安全管理成效?與其他的「XX長(CXO)」比起來,安全長出現在企業的資歷算是最淺的,不只是工作範圍的認定模糊,它不像風險管理可以透過數字量化呈現。績效評估的方法也還在討論當中。資安部門與IT部門在績效評估上,可以說是命運共同體,都企業被視為「只懂花錢」的單位,對公司的貢獻無法被量化。隨著資訊部門「服務化」,資安的(Service Level Agreement,SLA)如何被呈現?也是「資歷尚淺」的安全主管共同關心的話題。
除了定期做所謂的資安自我健康檢查,發現企業風險所在的同時,顧問公司多會建議企業從各個層面檢查,並參考BS7799或ITIL等認證標準中的控制項目,檢視安全部門的達成率,作為不同職務的績效評估標準。
.專責資安人現身說法
在行政院通安全會報的大力推動下,臺灣企業的資安意識逐漸甦醒,幾個身居各行各業的「安全主管」的實際案例,提供想跟進的企業作為參考。
熱門新聞
2026-01-10
2026-01-09
2026-01-09
2026-01-09
2026-01-09