Posted on by 劉培文

資安長的前一百天藍圖

對於企業來說,僱用任何功能的CXO其有形與無形成本都很高,這意味著資安長也需要迅速證明自己的價值,讓企業能夠信任新聘的資安長。研究機構Gartner特別提醒,資安長入職的前100天是建立資安長個人信譽和提升資安團隊品牌聲譽的關鍵時刻。Gartner建議把擔任資安長的前一百天分成五個階段,不管是空降或是內升的資安長,都應該在這五個階段中掌握業務關鍵,扮演稱職資安長的角色。

  • 第一個階段:準備,資安長最遲在就任的前一天,就必須規畫好相關的角色職掌。
  • 第二個階段:評估,資安長就任的第一到四周,必須掌握企業內部的資安成熟度,找出應該投入的方向與項目。
  • 第三個階段:規畫,資安長就任的第三到六周,打造前一百天的工作藍圖。
  • 第四個階段:行動,資安長就任的第五到十二周,針對現有的不足,做出一些可見的改善成績。
  • 第五個階段:評量,資安長就任的第十一到十四周,提供現有資安流程的確有改善的證據。
圖1. Gartner建議的資安長前一百天藍圖

以文化破解樹立信任

Gartner建議的「資安長前100天藍圖」基本精神就是PDCA,我相信有經驗的資安主管與資安長應該都不難掌握。我在另一篇文章也提醒了資安長應有的認知與能力,這些都應該盡可能在入職前就已準備充分。但我想特別提醒,在評估與規劃階段的題目選擇拿捏通常會特別棘手,尤其是對外部空降的資安長來說,因為企業與產業間的差異,過去的成功經驗往往未必能夠直接複製。尤其是一百天的時間,說長不長,說短不短,如果你新任職的企業對於資安的推動已經有高度的共識,且有足夠的成熟度,那麼在既有的推動基礎上找到一個適合短時間推動,又能看到成績的題目,相對來說是比較容易的,但大部分的狀況並非如此。通常新任的資安長必需要找到一個可以速贏(Quick Win)的題目,在經過行動與評量的階段後,就可以讓企業看到改善的成效與證據。

資安長在任職的前一百天,除了找到速贏的題目,最好能在前100天以「駭客」為師,嘗試以「文化破解(Culture Hacking)」的方式,提高你在藍圖中所設定速贏項目的成功機率。因為在企業裡沒有其他人比資安長更應該要花時間想辦法,找出可以改變企業資安文化的破綻。而與一般惡意駭客不同,文化駭客破解的對象是構成企業文化的元素,包括人員、團隊、溝通方式、決策流程,甚至是會議召開的方式。


第一個文化破解如果有效,這看似微不足道的進展卻至關重要,因為它觸發了有利於取得下一個進展的力量,包括獲得更多的資訊或找到有價值的盟友,甚至讓資安長能夠在空降的企業首次建立自身的品牌,讓企業建立對資安長初步的信任。而且從投資報酬率的角度來看,就算一次的文化破解無效也沒什麼大不了的,因為每一次的文化破解通常不需要投入龐大的資源,如果失敗了,我們總是可以試試別的對象與破解方式。如果資安長能夠將前一百天的速贏藍圖搭配成功的文化破解嘗試,相信隨著時間的不斷累積,這些文化破解小進展積累的小勝,就有更高的機率可以帶來大的勝利。

圖2. 文化破解的對象

資安推動組織的設計


資安長當然不可能單打獨鬥,勢必要有自己可以率領的軍隊。依據上市上櫃公司資通安全管控指引,上市櫃公司必須成立資通安全推動組織,除了由副總經理以上主管核定資通安全政策及目標,還需指派適當人員擔任資安專責主管及資安專責人員,亦即成立資安專責部門。


但要提醒資安長,有了具職權行使獨立性的資安專責單位後,資安長要注意與資訊長間如何搭配、資訊與資安部門要如何分工合作,這對於後續資安的落實推動有決定性的影響。基本的原則是資訊部門與各業務部門因為執行業務的關係,所以資訊部門與各業務部門是擁有風險的第一道防線,這些部門要權衡與落實風險管理。而資安部門與法遵、風管等部門則是制定風險政策,促進風險管理施行的第二道防線。

圖3. 資安風險三道防線


此外上市上櫃公司資通安全管控指引也要求上市櫃公司應定期辦理內部及委外廠商之資安稽核,並就發現事項擬訂改善措施,且定期追蹤改善情形。因此上市櫃公司應該據此建立由稽核部門負責的第三道防線,獨立確認資安風險管理被適當管理與施行。


除了三道防線的設計,企業可以視自身的狀況設計資安治理與管理的組織架構。以本行為例,本行在資安推動的組織設計上設置了資安管理小組,這個小組由資訊處與數位安全處組成,並定期召開聯席會議,以確保資訊與數安兩處的分工合作能夠順利進行。但資安絕對不是只是資訊與資安單位的事,必須有機制讓企業從董事會以降到每個員工都體認到資安與自身的相關性,並將自身應負的資安責任融入到每天的工作中。

圖4. 資安推動組織架構範例


在董事會的層級,每年都必須由負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行情形聲明書,使資訊安全成為企業治理的一環。在經營管理層級,則由數安處根據不同性質資安的議題,分別在決策委員會、風險管理委員會及資訊發展委員會就業務執行狀況、風險管理狀況及資安專案執行狀況報告及提案討論。最後在執行面則由總行各部門組成資安推動小組,落實各委員會及資安管理小組的指導及決議事項。另外總行所有部門及所有分行需要指派資訊專員,作為資訊資安業務聯繫的窗口,並可以透過行內自建的訊息平台Teammate群組做零時差的訊息交換。

發表留言

使用 WordPress.com 設計專業網站
立即開始使用