遠傳電信資安長朱建國 (攝影/洪政偉)

近期最熱門的工作職缺就是資安長(CISO)一職,在各行各業當中,尤其是符合金管會規定的第一級上市櫃公司,最遲在2022年底前,都必須在公司設立資安長,並且成立包括資安專責主管,以及至少二名以上資安專責人員的資安專責單位。

這樣的規定對於電信產業而言,其實難度並不高,尤其是,全世界許多國家,包含臺灣,都將電信產業認定為提供關鍵基礎設施(CI)的業者,而主管機關對於電信業在資安方面的要求強度,原本就高於其他產業。

由於5G有高速、低延遲和多裝置連結的特性,電信業者在5G開臺後,都為了提供申請企業5G專網頻譜而傷透腦筋。因為2022年號稱為5G專網商機落地的關鍵年,如何做到建構5G專網、頻譜、整合產業鏈,以及滿足客戶需求,成為商機能否落地的重要關鍵。

其中,主管機關NCC(國家電信傳播委員會)對於企業5G專網的「資安維護計畫」,應該採取「審查制」還是「備查制」,也因為審查委員意見不一而受到關注,這也證明,資安已經成為電信業者申請5G專網能否開通的重要關鍵。

面對外界早已認定資訊長(CIO)應該要介入企業營運的理所當然,身為遠傳電信資安長朱建國表示,各界對於資安長應介入企業營運的呼聲,有後來居上的趨勢。

他說,尤其對於關鍵基礎設施的電信業者而言,提供客戶的相關電信服務早就要做到「預設資安」(Security By Design),沒有資安的電信服務,是無法滿足客戶需求的。

因此,朱建國坦言,要形塑客戶對遠傳電信提供電信服務的信任度,資安長介入企業營運是必然的,畢竟,數位時代的「信任」是無價的,建立客戶的信任度很難,但要破壞客戶的信任,往往在電光石火之間就可以做到。

他說,或許資安部門現在還不能如同資訊部門,扛起公司營收的角色,但在資安不能獨立於業務之外存在的前提下,資安長可以帶領資安部門做到業務整合,藉由降低企業營運風險,也間接承擔協助公司營運發展的重責大任。

沒有內建資安的電信服務,無法被客戶接受

隨著企業逐漸仰賴資訊部門提供的IT系統支援企業營運,資訊部門也開始逐漸轉型,有許多產業的資訊部門已經從傳統的成本中心,慢慢轉為利潤中心,像是金融、電信產業的資訊部門,更慢慢成為企業數位轉型的重要推手。

以遠傳電信為例,資訊部門身兼企業數位轉型的重責大任,但若回頭看看資安部門,在企業中究竟扮演何種角色?

朱建國指出,資安部門並不是第一線提供客戶服務的單位,但在各界看重電信服務必須是安全、可信任的電信服務前提下,資安部門則成為重要的幕後推手,最重要的任務就是:協助企業形塑信任資產;並透過信任,驅動企業提供客戶更好、更安全的服務,累積營運所需的資產。

他認為,在這個企業營運的正向循環中,資安部門即便沒有走向幕前,卻已經成為企業營運不可或缺的合作夥伴,因為,沒有內建資安的電信服務,是不可能被客戶所接受的。

他說:「資安不能置外於業務而獨立存在,」也就是說,企業提供的各種服務,必須要有安全元件在內,資安只有跟業務整合時,才能降低企業營運的風險。朱建國指出,不管是遠傳電信或是其他子公司,一旦遭遇到各種資安風險或威脅,相關的作戰經驗都可以被累積、傳承和複製,這也讓遠傳電信在提供企業各種服務時,可以融合其他子公司面對資安風險的經驗,提供內建資安的客戶服務。

取得資安認證的目的不是為了合規,而是為了降低風險

遠傳電信早在2005年就成立資安相關部門,但這原先是資訊部門其中的一個功能單位,而不是獨立的資安部門。朱建國表示,在金管會於2021年11月正式對外公告,要求臺灣第一級上市櫃公司,必須在2022年底前,設立資安長且成立有2名專責人員的獨立資安部門前,遠傳電信便已在2021年7月,成立直屬總經理辦公室的資安辦公室,並指定他接任資安長一職。

他表示,重視資安是遠傳電信的傳統,甚至,在政府尚未下令A、B級機關須取得ISO 27001資安認證前,遠傳電信已於2006年取得ISO 27001資安認證。

朱建國早期服務於行政院資訊處,後續因離開政府部門轉而到產業工作的經驗,也讓他可以從不同構面去看資安,例如,從政府、產業、客戶和供應商等不同角色對於資安有不同的要求,他可以從更高層次去理解資安的重要性。

以ISO 27001資安認證為例,朱建國表示,這樣的資安認證,可以協助企業從稽核的角度去掌握資安的量能,並滿足相關法規遵循和企業資安稽核的需求。

不過,隨著資安威脅越來越複雜,企業取得ISO 27001資安認證,究竟是為了合規?還是為了資安?合規到底是資安稽核的目的?還是只是過程?朱建國坦言,這一切都是在做資安的過程中慢慢釐清,確認資安認證的目的並非合規,而是為了降低風險,只不過,政府和企業對於風險的定義有所不同。

攝影/洪政偉
遠傳電信總經理是技術背景出身,對資安風險更為重視,透過成立隸屬總經理室的資安辦公室和設立資安長,希望讓提供電信服務的同時,可以做到預設資安。── 遠傳電信資安長 朱建國

籌組不同階層的資安委員會,讓資安通報直達天聽

總經理井琪是技術背景出身,對於資安重視和理解程度非常高,而成立直屬總經理辦公室的資安辦公室並設立資安長,不僅反映總經理對資安的重視,專責資安部門也需要投入更多組織能量,而他身為企業資安長,不僅可以直接跟公司營運管理階層,反映企業面臨的資安和營運風險,更可以有效校準資安部門所需的組織資源和量能,不像以往須透過層級節制的方式,逐一向上通報。

朱建國同意,身為資安長,可以直接向懂技術的總經理通報資安風險,對於企業推動資安,帶來很大助益;而這種最短通報路徑的溝通方式,更有助於爭取經營管理階層對資安資源的投入。

他認為,感受資安風險的急迫性是資安長的責任,但組織對資安量能的聚焦與否,則必須讓經營管理階層直接看到資安風險所在,並且能和資安部門感受到同樣的資安風險帶來的壓力時,企業投入資安的資源才不會短少,面對風險的執行力道和意志,也就不會匱乏。

不過,朱建國也意識到,公司每個環節都需要資安,每個部門都要面對不同的風險,但實際上,不同部門對資安投入的資源雖然有落差,每個部門,都是駭客入侵企業的可能缺口,「每個資安風險帶來影響,都是全公司要共同承擔的。」他說。

雖然組織編制的限制,會帶來跨部門溝通的困難,朱建國試圖打破組織藩籬,希望透過跨部門任務編組或是籌組委員會的形式,讓經營階層、管理階層、技術階層都成立各自的資安委員會,藉由設定不同議題,讓第一線和駭客作戰的同仁,可以將不同層次的資安議題,直接對應到不同階層的主管,而不需要透過層層轉譯,才能掌握第一手資安風險資訊。

從全公司角度看資安資源分配,從源頭改變資安投資心態

由於朱建國是從內部升任資安長一職,相較其他空降的資安長,減少和其他部門磨合的困難。他也意識到,當資安部門的組織位階改變時,必須從單一部門的本位主義,轉而關注全公司的資安風險時,因為組織高度不一樣,優先項目也不一樣,「身為資安長的他,也必須重新校準資安策略,才能夠重新調整需要投入的資安配置。」他說。

以遠傳電信這樣的大型企業,投入資安資源不少,但過往都是從部門或單一組織的角度來看資安,不僅片面,還會受到組織分工和框架的限制。如果可以從全公司的角度,確認資安政策的優先順序,並重新分配資安資源,將可以獲得最大的資安投資效益,並透過彼此的分工合作再磨合,讓政策可以更好落實、資源可以更好分配,組織成員可以更融入現行運作模式,達到資安投資最佳效益。

舉例而言,很多部門服務上線前都需要做資安檢測,以往都由個別業務單位進行委外發包,但從全公司的角度來看,如何協助整併需要資安檢測部門的需求,並從全公司角度提供滿足需要資安檢測部門的需求,真正從源頭解決問題,讓企業資源可以更有效運用,才是從全公司角度看資安所帶來的改變。

朱建國也說,資安不可能零風險,協助企業具有承受資安或是轉嫁資安風險的能力,都是企業資安韌性的一環。因此,他接任資安長後,致力於縮短不同部門的資安資訊空窗期,即便看到以前不曾發生過的資安風險,也都希望可以做到「預見」問題的可能性,事先找出問題解決之道、降低企業承受的風險。

資安是團體戰,是否具備資安技術看企業型態

資安長究竟是否需要具備專業的資安技能呢?朱建國認為,資安其實是一種團體戰,單打獨鬥是做不好資安的。所以,他關注的重點在於,資安長是否有一個可信任、強而有力的資安技術團隊作為後盾,資安長本身是否具備資安技術反而在其次。

朱建國本身就是技術出身的資安長,多年的產業歷練,讓他熟知企業組織的運作模式,對上、對下以及平行部門的協同合作都可以做到游刃有餘,重點在於企業如何界定資安部門,如果資安部門在企業內偏重維運相關的安全,資安長具備技術能力比較容易獲得信任;若資安部門偏重資安治理的角色,資安長需要聚焦企業營運,相關技術問題則可以依賴專業的資安技術部門協助。

他認為,一個稱職的資安長不能抗拒新事務,且必須要做到持續學習,並且要有面對問題、解決問題的熱忱,才是稱職的資安長特質。畢竟,每年至少會出現一萬多個漏洞,加上資安問題包含各種資安技術和管理議題,資安長一旦停滯不前,不敢面對資安問題,就可能會被駭客打敗。

朱建國指出,他接任資安長所面對的挑戰就是,如何聚焦不同層級的資安委員會所面對的資安風險,並且在一個共通的討論平臺上解決問題,甚至可以把討論的資安議題解決方式,變成企業內部的資安指引;如果遇到的問題無法有效溝通,也需要有一個仲裁角色,協助解決部門疑慮,配合營運目標,協助擬定公司資安政策。

他說,遠傳電信在實際的運作上,每個專案都已內建資安的角色,現在更精進的作法就是,把專案進一步分類,讓高風險的專案配置資安角色,例行性專案可以用檢核表取代,透過持續調整,讓資安發揮最大效益。

 CISO小檔案 

遠傳電信資安長朱建國

學經歷:世新大學資訊管理學系碩士,先前曾擔任過行政院資訊處副研究員、數聯資安資安顧問、104資訊科技資安長;在遠傳電信則歷任資訊暨數位轉型科技群資安副理、資安經理,後升任網路暨技術群資安協理,並於2021年7月成立資安辦公室後,接任遠傳電信資安長一職,直屬總經理辦公室

 公司檔案 

遠傳電信

成立時間:1997年

公司地址:台北市內湖區瑞光路468號

業務種類:通訊/網路等相關業務

資本額:325億元

年營收:853.2億元(2021年)

董事長:徐旭東

總經理:井琪

員工人數:約6,300人

 公司大事紀 

資安部門成立時間:2021/07/15

資安部門主管:資安長朱建國

資安部門直屬主管:總經理井琪

資安部門人數:12人

資安角色與分工:

1. 擬定公司資安防護策略、推動和宣導

2. 綜理各安全委員會及BCM緊急應變機制運作

3. 規畫審核資安預算和計劃

4. 建立跨部門統合的資安監控機制

5. 統籌跨部門資安事宜和全公司員工資安訓練

6. 對外和政府部門聯絡溝通資安事宜

 資安大事記 

2005年:成立企業安全部門

2006年:取得ISO 27001資安管理認證

2014年6月:遠傳4G開臺

2020年7月:遠傳5G正式開臺

2021年7月:成立資安辦公室,隸屬總經理辦公室

2021年7月:指派朱建國接任遠傳電信資安長

2022年2月:遠傳電信宣布合併亞太電信,暫定9月30日完成合併

熱門新聞

Advertisement