欣興電子、台泥都要增設!資安長是什麼 - 工程師
By Todd Johnson
at 2022-03-02T12:50
at 2022-03-02T12:50
Table of Contents
欣興電子、台泥都要增設!資安長是什麼?跟資訊長不一樣在哪?
https://www.bnext.com.tw/article/67766/company-how-to-cybersecurity-protection?
陳映璇
疫情促使各行各業朝向數位轉型發展,如今各產業都與數位科技高度相關,資訊安全(簡
稱資安)將成為公司治理的重要一環。
金管會在2021年底正式發布新版「公開發行公司建立內部控制制度處理準則」,要求國內
資本額破100億元、前50大市值(台灣50指數成分公司)的上市櫃公司都需要設立資安長
,並要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員,無論是半導體、金
控業、水泥業、鋼鐵等公司都得做好準備。
規範公告至今已有不少企業採取行動,設置資安長是上市櫃公司當務之急,像是印刷電路
板大廠欣興電子、台灣水泥龍頭台泥等公司計劃增設資安長一職。到底資安長(Chief
Information Security Officer,CISO)是一個怎樣的職位?跟資訊長(Chief
Information Officer,CIO)有何不同?
各產業設「資安長」,平均3成向CEO報告
根據勤業眾信聯合會計師事務所發布「2021年網路資安大調查」發現,美國資安長直接向
企業CEO報告的情況,從2019年的32%提升到2021年的42%、全球平均統計結果約33%,反映
了公司高階主管對於資安的重視。
不過目前上市櫃資安長多由資訊長兼任,並未明確分開。若以工作職責來看,資訊長管理
IT(Information Technology,資訊科技)與MIS(Manager Information System,管理
資訊系統)系統等企業後台系統維運,資安長則負責企業組織資訊與資料的安全。簡言之
, 資訊長推動資訊系統使用的便利性,資安長類似踩剎車的角色,兩者本質不同,卻也
相輔相成 。
依各產業不同的性質,資安長所關注的資安議題也不盡相同。
台泥集團近年積極布局新能源事業,在2021年完成跨國併購義大利儲能公司NHΩA,台泥
集團資安業務交由子公司「台泥資訊」負責。台泥集團資安主要負責主管、台泥資訊資訊
處處長張年旺表示,現階段公司關注三大資安面向,第一是優先把收購的公司整合到集團
內部,兼顧跨國資訊交換的便利與安全性;第二因應遠距辦公趨勢,確保員工遠端登入公
司網路的安全性。第三是供應鏈管理,檢視供應商作業流程是否有資安疑慮,如資料交換
的保護措施,以及金流交易是否合規。
對零售業來說,除了資安,更涉及到人身安全的議題。國內百貨龍頭新光三越於2018年8
月設立「安控長」一職,是台灣首家設立安控長的百貨業者。所謂「安控」涵蓋資安、公
安、職安、食安、工安,就連防疫也歸類為環境安全的一種,幾本上所有跟安全相關議題
,都納入安控長管轄的範圍。相較於「資安長」主要管理資訊等IT虛擬面的安全,「安控
長」職責更廣泛,虛擬與實體的安全都要兼顧。
新光三越安控長馬振華指出,「新光三越擁有超過260萬會員,加上大量的消費資料,以
及員工與廠商往來的資料都需要作保護,接下來將取得國際隱私資訊管理標準ISO 27701
認證。」此外,安控長每月都要召開安控會議,由安控長訂定安全規範,各部門負責執行
。
對資安長來說,工作範圍涵蓋政策面、技術面。 以政策來看,各公司在資安政策與管理
都要參照國際標準,像是金管會要求各大金融業取得ISO 27000系列認證;資安也納入ESG
公司治理上,被要求取得第三方認證,張年旺表示,ISO 27000就高達逾百項檢核內容,
檢查公司在操作IT設備上有無按資安規範來做。
在技術方面,為研究駭客攻擊手法、強化資安保護技術,張年旺指出,資安有80%建置在
資訊基礎架構上,包含主機管控、防火牆、人臉辨識等技術,像是台泥為預防員工中釣魚
郵件,光郵件保護就做了6道,以防駭客攻擊。並隨時因應公司規模擴大或是工作流程的
改變,規畫新的資安架構。
資安長重要特質:跨部門溝通能力
「 資訊服務是串聯各部門的重要神經,資安又站在資訊之上,確保資訊在執行的過程中
是安全的。 」張年旺指出,資安長需要大量的跨部門溝通,像是為保護資料將資料加密
,就會造成各部門使用不便,資安人員藉由教育訓練的方式,協助同事在日常辦公落實資
安防護。
事實上,不少資安事件的發生,往往是內部同事沒有落實相關資安規範,因此教育訓練很
重要。資安人員也要主動提供同事協助,甚至是告知過往資料外洩的實際案例,提升同仁
的資安意識,「資安人員的重要特質是『善於溝通』,讓同事理解這是為保護公司的做法
。」張年旺強調。
在各公司人力資源有限的情況下,企業如何找到資訊與資安的平衡點,除了設立企業最高
資安負責人資安長外,金管會也要求上市櫃需設立資安專責單位,包含資安專責主管與資
安專責人員,來提升企業執行資安的獨立性,減少被駭客攻擊的機率。
責任編輯:林美欣
--
https://www.bnext.com.tw/article/67766/company-how-to-cybersecurity-protection?
陳映璇
疫情促使各行各業朝向數位轉型發展,如今各產業都與數位科技高度相關,資訊安全(簡
稱資安)將成為公司治理的重要一環。
金管會在2021年底正式發布新版「公開發行公司建立內部控制制度處理準則」,要求國內
資本額破100億元、前50大市值(台灣50指數成分公司)的上市櫃公司都需要設立資安長
,並要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員,無論是半導體、金
控業、水泥業、鋼鐵等公司都得做好準備。
規範公告至今已有不少企業採取行動,設置資安長是上市櫃公司當務之急,像是印刷電路
板大廠欣興電子、台灣水泥龍頭台泥等公司計劃增設資安長一職。到底資安長(Chief
Information Security Officer,CISO)是一個怎樣的職位?跟資訊長(Chief
Information Officer,CIO)有何不同?
各產業設「資安長」,平均3成向CEO報告
根據勤業眾信聯合會計師事務所發布「2021年網路資安大調查」發現,美國資安長直接向
企業CEO報告的情況,從2019年的32%提升到2021年的42%、全球平均統計結果約33%,反映
了公司高階主管對於資安的重視。
不過目前上市櫃資安長多由資訊長兼任,並未明確分開。若以工作職責來看,資訊長管理
IT(Information Technology,資訊科技)與MIS(Manager Information System,管理
資訊系統)系統等企業後台系統維運,資安長則負責企業組織資訊與資料的安全。簡言之
, 資訊長推動資訊系統使用的便利性,資安長類似踩剎車的角色,兩者本質不同,卻也
相輔相成 。
依各產業不同的性質,資安長所關注的資安議題也不盡相同。
台泥集團近年積極布局新能源事業,在2021年完成跨國併購義大利儲能公司NHΩA,台泥
集團資安業務交由子公司「台泥資訊」負責。台泥集團資安主要負責主管、台泥資訊資訊
處處長張年旺表示,現階段公司關注三大資安面向,第一是優先把收購的公司整合到集團
內部,兼顧跨國資訊交換的便利與安全性;第二因應遠距辦公趨勢,確保員工遠端登入公
司網路的安全性。第三是供應鏈管理,檢視供應商作業流程是否有資安疑慮,如資料交換
的保護措施,以及金流交易是否合規。
對零售業來說,除了資安,更涉及到人身安全的議題。國內百貨龍頭新光三越於2018年8
月設立「安控長」一職,是台灣首家設立安控長的百貨業者。所謂「安控」涵蓋資安、公
安、職安、食安、工安,就連防疫也歸類為環境安全的一種,幾本上所有跟安全相關議題
,都納入安控長管轄的範圍。相較於「資安長」主要管理資訊等IT虛擬面的安全,「安控
長」職責更廣泛,虛擬與實體的安全都要兼顧。
新光三越安控長馬振華指出,「新光三越擁有超過260萬會員,加上大量的消費資料,以
及員工與廠商往來的資料都需要作保護,接下來將取得國際隱私資訊管理標準ISO 27701
認證。」此外,安控長每月都要召開安控會議,由安控長訂定安全規範,各部門負責執行
。
對資安長來說,工作範圍涵蓋政策面、技術面。 以政策來看,各公司在資安政策與管理
都要參照國際標準,像是金管會要求各大金融業取得ISO 27000系列認證;資安也納入ESG
公司治理上,被要求取得第三方認證,張年旺表示,ISO 27000就高達逾百項檢核內容,
檢查公司在操作IT設備上有無按資安規範來做。
在技術方面,為研究駭客攻擊手法、強化資安保護技術,張年旺指出,資安有80%建置在
資訊基礎架構上,包含主機管控、防火牆、人臉辨識等技術,像是台泥為預防員工中釣魚
郵件,光郵件保護就做了6道,以防駭客攻擊。並隨時因應公司規模擴大或是工作流程的
改變,規畫新的資安架構。
資安長重要特質:跨部門溝通能力
「 資訊服務是串聯各部門的重要神經,資安又站在資訊之上,確保資訊在執行的過程中
是安全的。 」張年旺指出,資安長需要大量的跨部門溝通,像是為保護資料將資料加密
,就會造成各部門使用不便,資安人員藉由教育訓練的方式,協助同事在日常辦公落實資
安防護。
事實上,不少資安事件的發生,往往是內部同事沒有落實相關資安規範,因此教育訓練很
重要。資安人員也要主動提供同事協助,甚至是告知過往資料外洩的實際案例,提升同仁
的資安意識,「資安人員的重要特質是『善於溝通』,讓同事理解這是為保護公司的做法
。」張年旺強調。
在各公司人力資源有限的情況下,企業如何找到資訊與資安的平衡點,除了設立企業最高
資安負責人資安長外,金管會也要求上市櫃需設立資安專責單位,包含資安專責主管與資
安專責人員,來提升企業執行資安的獨立性,減少被駭客攻擊的機率。
責任編輯:林美欣
--
Tags:
工程師
All Comments
By Ophelia
at 2022-03-02T11:35
at 2022-03-02T11:35
By Jacob
at 2022-03-03T11:48
at 2022-03-03T11:48
By Erin
at 2022-03-02T11:35
at 2022-03-02T11:35
By Carol
at 2022-03-03T11:48
at 2022-03-03T11:48
By Olga
at 2022-03-02T11:35
at 2022-03-02T11:35
By Delia
at 2022-03-03T11:48
at 2022-03-03T11:48
By Freda
at 2022-03-02T11:35
at 2022-03-02T11:35
By Yuri
at 2022-03-03T11:48
at 2022-03-03T11:48
By Robert
at 2022-03-02T11:35
at 2022-03-02T11:35
By Elizabeth
at 2022-03-03T11:48
at 2022-03-03T11:48
Related Posts
全球半導體行業資本支出預估2022年增長24
By Faithe
at 2022-03-02T11:32
at 2022-03-02T11:32
友達當年違反托拉斯法是被三星出賣吧
By Steve
at 2022-03-02T09:52
at 2022-03-02T09:52
昨天晚上產線裡面到底是多賽?
By Kumar
at 2022-03-02T08:25
at 2022-03-02T08:25
台積電日本熊本廠Q2動工 將創造1700個工
By Megan
at 2022-03-01T23:46
at 2022-03-01T23:46
週三clubhouse: 能見度法則
By Odelette
at 2022-03-01T22:29
at 2022-03-01T22:29