企業發展數位化、智慧化的過程,也會面臨資訊安全風險。金管會在2021年底開始要求台灣的上市櫃公司依據營運規模設立資安長(Chief Information Security Officer,CISO)及資安專責單位。數位時代創新長James,邀請台科大資管系系兼資通安全研究與教學中心主任查士朝,來主談擔任資安長所需具備的能力,資安部門實際負責的業務範疇,還有人才可從哪裡來。
1.因為網路普及化程度高又快,台灣在資訊安全法規的訂定時程早於全球許多地區,但相對管理單位較零散、不同行業又各有不同細則,導致資安問題仍層出不窮。為讓企業能有更完善的資安架構,確保和官方能有聯絡窗口,政府才開始要求企業設立資安長。
2.資安長需有大量行業經驗、熟悉企業的營運,才能洞察工作流程實務上會有什麼風險、要做數據應用會影響哪些內外單位;同時,資安長還要能善於協調各部門,並對相關法規有一定的掌握程度,才能代表公司和政府溝通。
3.資安部門的主要任務有三項:
(1)建置企業資安骨幹,了解企業自身的弱點、敵方可能的攻擊方式,用有限的預算部署最有效的資安制度、計畫。
(2)設立資安管理制度,要宣導維護資安是所有人的責任,制定健全的制度讓所有人了解其角色與責任。
(3)稽核檢查,觀察資安設計是否有正常運作,可透過弱點掃描及滲透測試(找白帽駭客進行攻擊)來找出資安漏洞。
4.資安部門的許多工作需要和其他部門共同完成,以防火牆的建置為例,實際執行仍應交由資訊部門處理,但資安部門該做的,則是建立管制規則與偵測資安漏洞。要協助企業維護資安,首先需要對企業的常見弱點有一定的認識。因此,企業可以先從企業內部培養相關人才,找尋對意外事件偵測、處理較為敏銳的人員,安排資安培育課程,讓企業的資訊能有更完善、更精準的保護。