從公司治理角度發展資訊安全,從資安治理角度打造組織職能文化
2023/06/15
安碁學苑 周旺瑩
數位轉型與服務創新發展浪潮已勢不可擋,面對科技風險難以評估與管理的特性,對於企業在公司治理成效上,無疑是很大的挑戰。舉例來說,勒索軟體威脅牽涉到的不僅是惡意程式、通訊安全、或社交工程等防禦措施,也影響到資料保護與作業安全文化,光依賴IT或資安專責單位的職能,已不足以有效地控制資安風險。
公司治理精神,追求利益最大化
公司治理結構主要解決涉及公司成敗的兩個基本問題:
(1) 保證投資人(股東)的投資回報;
(2) 符合利害相關者(Stakeholders,包括內、外部團體或個人)的要求與期望,公司治理結構的內容基於一系列契約或書面協議,明確地規範了公司事務決策所應遵循的原則、基準、規則與程序,無論是法令法規、公司章程、合同契約、組織文化、社會慣例而形成的行為規範等,都實質上對投資人(股東)與利害相關者提供了保證的承諾,因此公司治理結構決定了企業為誰服務(目標為何?)、由誰控制、風險和利益如何在各個利害相關者中分配的系統化問題。
因此企業為實現經營目標,企業所有者、董事會及高階管理階層之間的委託(代理)關係,需要透過公司治理來降低代理成本,實現以股東利益與公司利益最大化的目標,如此的公司治理結構包含了制度(Institution:組織原則或基準)、體系(System:非指資訊系統,可視作管理體系)、控制機制(Control-mechanism:控制措施),從股東利益與公司利益最大化來檢視設計面、管理面、執行面的有效性,並透過內稽內控機制來管理公司成敗的風險,這也關乎事業主管機關、企業與組織內外部監管、監督的責任。
企業透過資訊來經營,經營成敗關鍵包括資訊安全
企業永續經營(長期)而言,符合利害相關者之需求與期望,並貢獻價值予其每一個團體或個人,資訊安全的成功是不可或缺的!有了管理的目標,從而發展有效的管理體系,便是資訊安全管理系統(如:ISO/IEC 27000系列或相關標準與實務指引)導入的主要目的,為了達成公司治理目標使得資訊安全管理成效密切對齊組織營運目標,並貢獻價值予利害相關者!
從科技風險角度來看,科技進步帶來了數位轉型的需求,也導致了企業暴露在科技風險之中,為了追求利益最大化,建構資訊技術與服務的過程中,無論營運、法遵、風管、資通訊技術(IT)、財務、會計等各單位,均應遵循且達到組織策略面(制度、營運策略、監督責任)、戰術面(專案/行動方案)以及作業面的資訊安全期望目標、要求或基準。資訊安全治理原則包括:
(1) 建立企業整體之資訊安全:組織各個單位、職掌均應具有考量營運、資訊安全及所有其他相關層面之決策;
(2) 採用基於風險之作法:基於關乎公司實現經營目標之成敗的風險胃納等級,定義資訊安全的可接受程度,從喪失競爭優勢、遵循性與責任、營運中斷、商譽傷害及財物損失等風險分析,由公司高階管理階層(治理單位)配置實施資訊安全風險管理之適當資源,作為戰術面/行動方案的資訊安全最高指導原則,以及基層管理人員的作業基準之依據;
(3) 設定資訊安全投資決策:以最佳化資訊安全投資為目標,促使營運與資訊安全績效間取得平衡,同時滿足利害相關者即時的需求與期望;
(4) 確保符合內部及外部要求:透過資訊安全管理體系運作,確保資訊安全政策與落實程度符合已承諾之強制法令法規、營運或契約、及其他內部或外部要求。(例如三道防線機制:透過營運單位自我監督;財務業務資訊外,應重視資訊安全納入第二道管理監督,法遵、風管、資通訊技術(IT)甚至財會部門將不僅僅視為是後勤單位;藉由委任之獨立安全稽核,取得資訊安全活動能滿足內部及外部要求之保證。)
(5) 促進資訊安全正向文化:為充分協調企業經營目標、角色、責任及資源,避免因相互衝突導致無法達成組織營運目標,建立正面之資訊安全文化,促使不同利害相關者之和諧與朝向一致方向是非常重要的。高階/最高管理階層(治理單位)透過要求、推動及支持利害相關者有關活動,由上到下逐步檢視、分配、監督與量測企業策略面要求;中階管理階層訂出滿足策略面要求之戰術,並據以提出行動方案;基層經理人則依據行動方案之目標,規劃、執行、確認與持續優化作業面基準,以此達成資訊安全之一致方向。
(6) 確保資訊安全績效滿足組織現在與未來的需要:高階/最高管理階層(治理單位)確保所議定的資訊安全水準(等級),資訊安全績效則維持在所要求之水準(等級),以達成目前與未來之營運要求!透過評估與公司成敗有關的營運衝擊相關之資訊安全績效,履行監視、稽核及改善等績效量測方案之必要審查,並得以連結資訊安全績效與營運績效,而不僅僅是審查資訊安全控制措施之有效性及效率。
建構企業資訊安全文化,發展全組織資安職能基準
綜上所述,企業要達到利潤最大化的營運績效,不光是部分資訊安全從業人員(如:資訊安全控制措施維運人員、資通訊技術人員、資訊安全管理專責人員等)就足以協調全組織達成資訊安全之一致方向的!當然這也是企業資訊安全專業人員高度短缺的原因之一,因為資訊安全績效無法衡量對營運績效的助益,導致投入大量資源仍然無法達到預期成效或有效地控制資安風險,資訊安全從業人員的疲於奔命除了人力短缺外,也包含了各營運過程資訊安全績效與營運績效無法連結,導致設計面先天缺乏、管裡面驅動不足、技術面防不勝防的窘境。
全新盤點營運所需資訊的生命週期,從職能考量資訊安全績效以實施教育訓練及認知課程,使人人具備符合企業資訊安全政策、主題特定政策(如存取、實體安全、作業安全等)、運作/作業基準的基礎職能,這不光是傳統認為的資訊IT人員、資安專責人員、法令遵循或稽核人員的職能,更是包含了資訊擁有者、使用者、利害相關者等為滿足組織營運與資訊安全績效所應具備的職能要求。
只要使用到「資訊」,就需要具備資訊安全職能;需要管理資訊安全風險,就需要建構全員資訊安全職能基準,無論是法遵、風管、資通訊技術(IT)、系統維運、財務、會計等單位,為展現其營運與資訊安全績效,都需要具備符合職能基準要求的員工;系統化管理資訊安全,將確保高階/最高管理階層(治理單位)得以在議定之資訊安全等級下,審查支援企業經營目的所採取資訊安全之作法是否合適且不會忽略掉必要的措施。
協助克服資安文化形塑不易的挑戰,ACAD發展資安職能培訓架構
科技發展為組織營運風險帶來了劇烈的變化,面臨數位轉型的進程,無論是各種營運作業流程、應用系統服務或基礎架構管理,規劃其執行資訊技術相關業務時,均應具備資訊安全知識與技能。因此,安碁資訊股份有限公司(Acer Cyber Security Inc.,以下簡稱ACSI)於2021年成立子公司安碁學苑股份有限公司(Acer Cyber Security Academy,以下簡稱ACAD),開始思索如何從培訓層面提供企業形塑資安文化的幫助,像是如何在政府機關或企業,為不同的工作執掌、任務內容與人力需求,提供適用企業/組織營運管理與人才培訓所需的資安通識與職能訓練,對象包括資通訊技術人員、資安專責人員、資訊管理人員、或是對資安有興趣但不是資訊業務的人。
.png)
ACAD針對企業或組織不同執掌與活動所需的資訊安全職能,發展各式訓練課程、教材並建立資訊安全能力之職能驗證機制;另外,對於有心從事資訊安全領域相關工作具有職業轉換需求者,提供進入職場所需之專業知識、技術及職業倫理涵養教育,以及在職者或轉業者再學習職場所需之專業技術或職業訓練教育,透過資安職能驗證機制或協助取得國內外資安認證作為企業或產業資安人力招募、職能評量、績效考核之依據。
而企業透過建立資安職能基準與投入職能培訓,將使得企業組織培訓資安職能將更有計畫性,並且由專業職能培訓機構規劃執行相關職能培訓課程,也更好衡量相關課程的訓練成效,以及在進行職能評量時,更能夠具體地達到人才培訓目標。職能基準與培訓的落實,將有助於型塑企業資安文化,除了在資安風險無所不在的工作環境下改善員工關係,幫助員工在實現個人工作目標外,滿足個人、部門與組織營運績效的要求,從根本原因上解決資訊安全專業人力不足的困境,更好地掌握營運與資訊安全績效!