從資安治理角度,了解各主管職責所在
台灣大哥大資安長陳啓昌先生,日前於台灣資安大會上分享根據他一路走來的工作經驗,擔任資安長這個職務,所需要具備的五項能力,分別如下
一、戰略思維
具備規劃企業中長期以上資安發展的能力。
二、身為資安長必須具有解決問題的方法
三、成果展現
能將紙上規劃之內容,進行落實並持續地改善。
四、協助高層了解風險,方能得到足夠的資源與支持。
五、妥善的代理與接班人選安排。
除前開所述資安長任用應考量之條件簡述外,本文以下再以資安治理的角度提出一些觀點供大家參考。
資安風險是近期的新興的風險,世界各國均將資安列為企業營運的重大議題,相關法令規範更是如雨後春筍般通過實施。
有別於傳統的實體風險,資安事件、資安風險所導致之損失不僅止於特定範圍,企業面臨前所未有的財務損失,聲譽重挫甚至造成股價下跌,侵害股東權益,因此,網路安全風險絕對不僅僅是CTO及CISO要解決的技術問題而已,其必需仰賴跨部門間的通力合作,共同面對才行,這其中包括:財務長、法遵長或隱私長、首席法律顧問、企業溝通部門主管及風險長。而這些管理階層於各司其職時,該如何協助公司妥善管理資安風險,本文以下提供一些建議:
一、財務長(CFO )
過去以傳統財務風險管理模式處理實體風險的經驗並不足以處理數位資產等資安風險,尤其是在「識別」與「量化」這兩方面必須大幅調整提升。
而資安風險的「量化」有一些模型公式可以參考,基本架構是「Gross Financial Risk-Risk Transferred =Net Financial Risk」,因其內容涉及諸多專業,無法在本文做說明,在此先略過不談,僅特別強調該模型公式重點在於Gross Financial Risk必須在CISO、CTO,甚至是Chief Legal Counsel根據其各自專業、共同協助下才能獲得最佳結果。
二、法遵長或隠私長(Chief Privacy Officer)
應該制定明確且不低於法令要求的的隱私政策,同時確保企業內部能遵守其公告之隱私政策;其次應確實瞭解何人掌有哪些管制的數據、儲存的位置與格式等,且企業亦應有明確數據保留與銷毁的流程規定。
三、首席法律顧問(Chief Legal Counsel)
就其專業而言,其應考量是否分析了資安事件的法律責任(Cyber Liability)?是否評估商業機密遺失的風險?與供應商、合作伙伴或其他第三方間共同維護、運用的數據應適用什麼法令?
是否採取措施來減輕可能產生的法律責任曝險部位,其中最有效、明確的措施就是要求第三方購買一定級別的網路安全保險。
四、企業溝通部門主管
正確且及時企業溝通是資安事件中非常重要的一個環節。有效的溝通策略可以大幅地降低對公司聲譽、客戶忠誠度、員工士氣及股價的潛在傷害。
另外本文簡單提醒注意幾件事:
(1)不同類型的網路安全事件應該有不同類型的溝通回應機制(Communications response)。至於企業是否有書面且主動的危機溝通計劃,詳細內容則有機會再談。
(2)溝通回應計劃(Communications Response Plan)並不是資安事件反應計劃(Incident Response Plan),後者應該由CISO主導,前者應該由企業溝通部門配合外部顧問公司來制定,兩者內容及目的均不相同,不可混為一談。
最後還有一個重要的角色必須參與資安風險管理的共同協作,那就是企業風險管理部門,大型企業設有風險長(Chief Risk Officer ),強烈建議CISO必須與CRO密切合作共同面對網路安全風險。
CRO是經常被忽略的一個角色,企業風險管理(Enterprise Risk Management,ERM)部門不被重視,主要是因為董事會及公司高層沒有風險管理的正確概念及風險意識不足。
過去由財務營收或會計盈虧的角度看待企業風險,董事會大都將風險管理之職責歸屬於審計委員會,或雖設有風險管理委員會,但實際上並沒有任何具備企業風險管理專長的人士在內,形式上作到了資安風險管理,實質上則非然,未來若風險發生,公司管理人員得否免責,說理上勢必將難以立足。
CRO的主要職責在於確定企業要承受多少風險?移轉多少風險?及如何處理剩餘風險(Residual Risk)?
在資安風險上,CRO的職責亦是如此,評估風險後,風險移轉常見方式之一為保險,因此CRO有一個重點即是對網路安全保險的理解,例如涵蓋哪些內容、保險理賠損失如何估計、誰是可以協助評估的保險經紀人、值得考慮的保險公司有哪些等,甚至與D&O責任保險之間的風險承擔配比應如何決定等等。
資安事件處置的疏失,將直指董事會資安治理的不當,投資人即股東、客戶、合作夥伴皆可能提起訴訟向公司主張侵權或契約上的損害賠償責任,企業若有妥善的網路安全保險除了得以轉嫁相關成本或損失之風險,也可以免除支付遭受損害的第三方合解賠償金的負擔,另一方面也有助於顯示董事會之資安治理水平,增加公司的聲譽。
因此,企業近來開始設立資安長,代表對資安的重視,這當然是值得肯定的,但若是因此認為資安長可以獨力承擔資安管理大任或是應該為資安事件後果負全責那就是大錯特錯了!
倍安保險董事長
黃志明