金管會要求大企業年底前設立資安長!資安長是幹嘛的?資安長能外包嗎?

金管會要求大企業年底前設立資安長!資安長是幹嘛的?資安長能外包嗎?

去年金管會公布「公開發行公司建立內部控制制度處理準則」修正草案,100多家資本額達百億以上,或前一年底屬台灣 50 指數成分的上市櫃公司,須在今年年底底前設資安長及資安專責單位。但是這個規定讓很多的企業完全摸不著頭緒,資安長是幹嘛的?和資訊長有何不同?

Q:什麼是資安長?職責是什麼?

A:簡而言之就是負責公司資訊安全的最高的主管。對中小企業來說,可以一個人就管理了公司所有和資安相關的事情,大公司的話,就會建構一個團隊來處理公司的資訊安全事宜。

 

Q:資安長在公司裡應該扮演什麼角色?

A:資訊安全的專家,公司資訊的保衛者。但再雲端服務興起後,資安長的角色應該要更接近戰略家。也應該是個顧問,為未來公司各項開展的業務,提供可能的風險建議。

 

Q:資安長與資訊長有甚麼不同?

A:以前的資訊長很單純就是把維持公司電腦的正常運作,網路暢通,對內把資訊綜效發揮到淋漓盡致,對外把產品的服務和提供做到最好;資安長反而有點像踩煞車的角色,在每個環節都停下來檢查有沒有問題。

 

Q:資訊安全可以外包嗎?

A:以台灣中小企業的生態,大部分都沒有那麼多的資源可以在內部設定專責單位,外包當然是選項之一,但目前有針對金融業等高風險的行業,在某些資訊外包的情況下訂定的一些規範。

 

Q:中小企業如何面對資安的議題?

A:以前公司喜歡把電腦、伺服器放在公司內部,覺得把資料放上雲端是風險很高的行為,但近年來的資安風險反而都發生在公司內部。把資料放到有完整資安架構的雲端服務提供者,風險反而更低。

 

Q:資安長應該具備什麼樣的技能?

A:了解公司的IT的整體架構、漏悉弱點之所在,但更重要的是具備跨部門溝通協調以及向上管理的能力,讓公司高層能認同這些相關的措施。

 

Q:國外有類似「資安長」這樣的職務嗎?

A:其實現在各國對於資安都有很多的討論,日本就有相關的規定,希望企業能和政府相互配合進行數位轉型,而資安當然是相當重要的一環。甚至覺得資安長應該從被動防守的角色變成主動攻擊的資安長。

 

Q:什麼是零信任?

A:零信任不是不信任員工,而是不信任整個網路系統,因為網路無國界又看不到人,你要用最嚴格的標法去檢視和核實你所面對的訊息和要求。

 

Q:微軟的Windows 、Office還是目前企業和個人使用的最廣泛的產品,對於資安的保護可以做什麼?

A:在微軟產品的研發中,已經把零信任當作基本的設計;也預設產品可能遭受到任何攻擊,因此也在產品中加入了各種災害管理的設計,把災難降到最少。如果是使用雲端的產品,就會一直處於最新最安全的保護之下。 

 

T客播
作者

這是T客邦網站所製作的Podcast節目。我們會邀請跨領域的工作者來節目中分享跟科技有關的看法。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則