還需要再設立C字輩的資安長嗎？

在現代企業組織裏，CxO等C字輩的高階主管職位蔚成風氣，即便許多人說這不過是個流行詞彙，然而將涉及企業整體的事務，由管理職位次高的主管來統籌管理，的確有其必要。

在企業基本營運管理必備的財務長、營運長、技術長等職位之外，近年來企業營運越來越仰賴資訊科技，因而資訊長職位也是蔚成風氣，有些企業更為了策重知識管理而設置知識長的職位。

有鑑於資訊安全對於企業的威脅與日俱增，而且其影響層面遍及企業整體組織與業務，歐美大企業除了普遍設置資訊長職位外，已在2、3年前開始增設統管企業整體安全的資安長（Chief Security Officer或Chief Information Security Officer）。

CxO職位已經夠多了，我們不免要問，已經有CIO了，還需要CSO嗎？再者，若已經有負責資訊安全的專責主管，還需要CSO嗎？

CSO的功能與職責頗像現代CIO一樣。以前企業只需要資訊部門提供個別的服務，頂多需要資訊部門主管；然而，當企業營運大幅仰賴IT時，就不能只靠部門主管來負責關乎企業整體的事務，必須由擁有較大權限、了解企業營運、並能跨部門協調的C字輩高階主管CIO來統籌。

同樣的道理，因為資訊安全不再只是資訊部門的事務而已，安全風險與企業營運習習相關。因此，有必要由企業制高點來衡量風險與制定安全政策，也就需要專注於企業安全的高階主管職位。

此外，有些美國企業在911事件後發現，負責企業安全的主管，與負責資訊安全的主管，彼此各盡職責、各走各的路，分別規畫企業實體安全與資訊安全，但就沒有企業整體的安全應變計畫。然而，現今企業整體安全必須兼顧兩者，因而需要能統籌企業所有安全事務的CSO。

歐美許多企業設有專屬的安全主管，但是其職位否就應該是CSO，仍未有定論。Gartner去年底的調查，只有24%的企業設有CSO職位，而員工數超過500人的企業中，40%設有專屬安全主管。

此外，企業對於最高安全主管的作法也有所不同，職稱是否為CSO、權責為何、回報對象為CIO、CFO或CEO，目前也都因企業型態而有所不同。

在臺灣，有些企業組織開始設立類似CSO等專屬職位，有的企業稱為CSO，有的企業則以其業務型態而設定同性質的最高安全主管。這些企業目前怎麼做呢？請見本期封面故事──「臺灣企業資安專才浮出檯面」。

要做好資訊安全，必須要同時兼顧政策、流程、技術與人員，其中缺一不可，而且過於側重某一個面向，可能因為不均衡而導致漏洞。設立CSO，還有一個最基本的用意──「分散權力」。由同一個主管負責制定安全政策與執行安全政策，難以避免球員兼裁判的爭議，如何落實資訊安全就是個大問題。即使你的公司還沒大到有必要設立CSO，也可以由這個角度來思考。