111 家公司年底前要有CISO、資安部門！除了懂技術，資安人才需要什麼本事？

今年 3 月，公共電視新聞影片資料庫遭外包資訊廠商誤刪， 42 萬多筆新聞資料中，約 10 萬筆資料毀損；同月底，世界最大的汽車零件供應商電裝（Denso），也被竊取了 1.4 TB的機密資料，遭到駭客集團勒索。

資安事件頻傳，金管會去年也公布〈公開發行公司建立內部控制制度處理準則〉修正草案，要求資本額達百億以上，或前一年底屬台灣 50 指數成分的上市櫃公司，今年底前應設置資安長（CISO），以及資安專責單位。根據證期局統計，符合第一級的公司有 111 家。

不只政策的壓力，疫情也加速企業的數位化腳步，如今資安人才已成為當紅炸子雞。據 104 玩數據分析， 2021 年平均每個月的資安工作數來到 1326個，與 2017 年平均每月 539 個相比，資安人才需求在 5 年內成長了 1.5 倍。

和防疫一樣，企業做資安不是求清零

資安議題愈來愈受重視，企業經理人應該抱持什麼心態，以及有什麼具體作法？勤業眾信風險資諮詢服務執行副總經理林彥良指出，最重要的觀念是，沒有一家公司不會被攻擊，資安和防疫一樣，不是求清零，而是要降低駭客攻擊對企業營運的影響。

畢竟，即便是國家軍隊，享有最高級的人才、資源，都會被駭客打穿，因此要接受這件事，與駭客共存，思考被攻擊之後，如何繼續存活。在找資安人才、建立體系前，企業可以先把2件事放在心上：

重點一：人才不要只講求技術，要理解企業營運價值

林彥良說，在找尋資安人才上，有一個很重要的概念是，不要只以技術層面為重，而是要能掌握企業的營運目標，知道什麼事情是要保護的標的。

以雜誌業來說，如果駭客要攻擊出版社，可以攻擊網站、編輯的後台系統、偷記者的草稿，或是滲透印刷廠；有些人可能會想，「不能印雜誌，就不能賣錢，所以要優先保護印刷設備。」但事實上，雜誌業高階經理人會認為，文章內容才是要被保護的重點。

換句話說，建立資安長、資安團隊，除了具備技術，還懂得企業營運價值，才是符合趨勢的人才。

此外，資安工作者並不一定是得具備資安背景。104 玩數據今年 3 月曾分析站上的資安工作機會，發現其中 44.5% 不限科系，也就是說，只要具備資安能力或相關證照（如 CEH、CISSP、CCNA 等）就有機會從事資安工作。

林彥良建議，可以從業務單位培育人才。先找到懂業務的人，再教他基礎資安概念，會比找資安背景人才，再教他業務知識來得快。一般來說，培育成熟的資安人才，至少要 3 ～ 5 年來養成。

重點二：把「資安」與「資訊」分開，做好層層防護、把關

另一個重點在於，企業應把資安與資訊（IT）部門劃分成不同單位。林彥良指出，IT處理的事情不夠廣泛，以工廠生產系統來說，IT會管到製造執行系統（MES）、產品生命周期管理（PLM），但機台上的公共系統，例如實驗室裡面的設備，或許IT就管不到。資安不一樣，要從全公司的角度出發。像是委外開發、雲端服務、自購設備管理，都和資訊安全高度相關。

林彥良說，企業在風險管理上有3道防線。第一道防線以業管單位、資訊處負責，承擔與管理基本風險，像是一線單位做好資產管理與維護，向審計委員會報告。第二道防線則是資安專責單位負責，主要任務包含資安治理、監控與應變，向風險管理委員會報告。第三道防線是內部稽核單位處理，進行獨立稽核。

總結來說，設立資安長、把資安部門化，至少在預算上可以獨立，有明確的配給，像是舊的系統沒升級、有攻擊漏洞沒有修補，這些都能由資安單位規畫預算，再交由資訊單位執行。