數位關鍵字50. 上市櫃公司都得有！資安長、資安部門都在做些什麼？

企業發展數位化、智慧化的過程，也會面臨資訊安全風險。金管會在2021年底開始要求台灣的上市櫃公司依據營運規模設立資安長（Chief Information Security Officer，CISO）及資安專責單位。數位時代創新長James，邀請台科大資管系系兼資通安全研究與教學中心主任查士朝，來主談擔任資安長所需具備的能力，資安部門實際負責的業務範疇，還有人才可從哪裡來。

1.因為網路普及化程度高又快，台灣在資訊安全法規的訂定時程早於全球許多地區，但相對管理單位較零散、不同行業又各有不同細則，導致資安問題仍層出不窮。為讓企業能有更完善的資安架構，確保和官方能有聯絡窗口，政府才開始要求企業設立資安長。

2.資安長需有大量行業經驗、熟悉企業的營運，才能洞察工作流程實務上會有什麼風險、要做數據應用會影響哪些內外單位；同時，資安長還要能善於協調各部門，並對相關法規有一定的掌握程度，才能代表公司和政府溝通。

3.資安部門的主要任務有三項：
(1)建置企業資安骨幹，了解企業自身的弱點、敵方可能的攻擊方式，用有限的預算部署最有效的資安制度、計畫。
(2)設立資安管理制度，要宣導維護資安是所有人的責任，制定健全的制度讓所有人了解其角色與責任。
(3)稽核檢查，觀察資安設計是否有正常運作，可透過弱點掃描及滲透測試（找白帽駭客進行攻擊）來找出資安漏洞。

4.資安部門的許多工作需要和其他部門共同完成，以防火牆的建置為例，實際執行仍應交由資訊部門處理，但資安部門該做的，則是建立管制規則與偵測資安漏洞。要協助企業維護資安，首先需要對企業的常見弱點有一定的認識。因此，企業可以先從企業內部培養相關人才，找尋對意外事件偵測、處理較為敏銳的人員，安排資安培育課程，讓企業的資訊能有更完善、更精準的保護。