专责资安长的必要条件：得与法遵长、风险长和资讯长平行协力

摄影/洪政伟

去年12月，蔡英文总统在HITCON Pacific上喊出：「资安即国安。」，而今年二月份，金管会也终于正视金融业的资讯安全问题，要求6个月内，银行内部必须设置资安长（CISO）与资安专责单位。当资讯安全逐渐被重视，更成为一个施政关键指标，法制的影响也将逐渐扩大。勤业众信风险谘询公司总经理万幼筠在资安大会的第二天，以「威胁潜伏的数位时代」为题，点出法制与资讯安全的重要性，他表示：「安全就是建立起一个可信任环境最重要的核心。我希望，安全要变成一个内建的零件，更要成为企业的基础架构。」

有鉴于台湾金融业近来面临了不少严重的资安威胁事件，金管会在二月份时召集台湾所有银行总经理，强制银行内部必须设置资安长。除了在美国纽约设有分支的8个台湾金融机构，在之前就已经应美国纽约金融监理局的要求，设立专责的资安长、专责机构以及编列预算，并向董事会报告，通过后再送交美国金融监理局，这些在美设有分行的台湾金融机构对资安是具备一定程度的重视，但台湾大部分的银行仍旧对资安长一角存在许多疑惑。

万幼筠以美国标準技术研究所（NIST）和美国联邦金融机构检查委员会的安全风险治理逻辑来说明，董事会与高阶管理阶层才是最关键的角色，「美国透过NIST规範，资安长一定要做风险评估，跟董事会报告。」

资安长做什么？与风险长、法遵长、资讯长相互协力

然而，大家心中最大的疑惑，资安长的阶层在哪？该做些什么？又要怎么跟风险长合作？万幼筠表示，位阶在协理与执行副总等级的资安长，主掌企业资讯安全的风险管理，并且跟法遵长、风险长、资讯长互相影响、互相报告。

资安长依据本国与海外各国法规监管指引，进行合规检视与通报，再交由法遵长（CCO）向风险长进行违法事件通报；资安长也要向风险长（CRO）通报资安事件，并营运持续管理、资安保险的评估；资安长也要监督资讯长（CIO）的资讯控管要求，资讯长再向风险长通报系统与人为操作不当的事件通报。

和过去最大的不同是，以往大家首重撰写标準作业流程（SOP），现在则是注重事后的因应。「因为没有100%的安全，所以现在一定要做Incident Handling（紧急事件处理程序）。」万幼筠说明。

此外，资安部门也是一个独立部门，更要有独立的预算编列，也因此资安预算与资讯预算脱钩后，就不需要受到箝制，万幼筠表示，资安部门不需要因为资讯部门跟Ａ厂商很好，就顺便买他们提供的资安服务。「现在许多金融服务都架构在网路上，安全性做不好，怎么可能做KYC（Know Your Customer）呢？」他说。

「资安领域正在变形，渗透到各种地方」

搜寻结

?

?

万幼筠指出，随着跨境电子商务、跨国的电子应用以及各种新式科技的崛起，让实体世界的疆界与围墙无法再抵御虚拟世界的资安威胁，海外企业也面临了模糊且複杂的资安合规问题，当这些界线开始模糊的时候，就需要不同过往的法制仲裁。

社会上开始出现各种新型态的金融犯罪风险，但是他指出，台湾的法制脚步还未跟上，他以一银ATM盗领案中的俄罗斯的三名车手被当成共犯，并被判刑为例，「安德鲁是只有高中学历的车手，我们抓不到主谋（俄罗斯黑帮），但是写程式的也不是俄罗斯黑帮。」他说明，这群骇入一银ATM的骇客是在网路上写攻击程式，再卖给各个犯罪集团。俄罗斯黑帮向骇客购买程式码，使用程式有时间限制，若要买更长的时间，就要再付更多的钱。但是，关键在于：「我们以前没有看过这种事情，我们就尝试用我们不知道的方式去解决他。」他更直指，未来这类无法确定法源的事件会越来越多。

在网路环境上，抑或是资讯环境上，安全是建立起一个可信赖的环境最重要的核心，「但是这些带来效率的资讯环境并没有打破我们的法规架构。」

不过，现在资安领域也开始透露出一丝曙光，除了上述的资安长设置是一个小起点外，目前担任政府施政顾问的万幼筠也透露，未来的台北市长候选人也纷纷对资安提出一些想法，使资安成为一项施政的关键指标，「资讯安全是带给民众福祉很关键的项目。」他说，虽然不管系统做得多好，还是有层出不穷的恶意软体、0day出现，永远也解决不完。但是，这也带来无穷尽的能量，代表着资安领域的专才会一直都在。

他强调，安全必须要成为企业的基础架构之一，也要是产品的内建元件。他表示，原本投入风险谘询的主要是金融业，现在也有销售通路开始需要资讯安全的解方。他表示，现在资安团队还要投入食品履历的研究，看有效期限是不是被人窜改。「资讯安全的领域正在变形，渗透到各种地方。」他表示，企业的Domain Know-How开始与技术安全的技术产生一些混合。随着这样的结构，他也提出警讯，资讯化越高，如果资安成熟度越低的话，整个国家的架构将不堪一击。