資安長(CISO)與資訊長(CIO)都是企業內的重要高階主管,但兩者工作職責與重點有所不同。資安長則負責企業資安防護工作,包括資安策略制定、資安風險評估與管理、資安事件應變等。資訊長負責企業整體資訊科技(IT)管理,包括資訊系統規劃、設計、開發、維運、安全等。
近年來,隨著數位化轉型加速,資安事件也更加頻繁且複雜,對企業和政府造成的損失也越來越大。因此,資安意識逐漸抬頭,各個組織都開始重視安全防護。
在台灣,金管會於 2022 年修訂「公開發行公司建立內部控制制度處理準則」,要求實收資本額達新臺幣 100 億元以上、前一年底屬台灣五十指數成分公司及主要經營電子商務媒介商品或服務之上市櫃公司,應於 2022 年底前指派資安長並設置資訊安全單位(包含資訊安全專責主管及至少 2 名資訊安全專責人員)。其餘上市櫃公司除最近 3 年稅前純益連續虧損或最近 1 年度每股淨值低於面額者外,應於 2023 年底前配置資訊安全專責主管及至少 1 名資訊安全專責人員。
此外,政府也積極推動資安法規,以強化企業和政府資安防護能力。例如,2022 年 12 月 20 日公布的「資通安全管理法」,明定企業應建立資通安全管理制度,並指定資安主管負責推動資通安全管理工作。
資安長是企業和政府資安防護的重要角色,負責制定資安策略、評估資安風險、應變資安事件等。資安長的設置,有助於企業和政府建立完善資安體系,降低資安風險,保障資訊安全。
資安長與資訊長工作職責
資安長(Chief Information Security Officer, CISO)與資訊長(Chief Information Officer, CIO)都是企業內的重要高階主管,但兩者工作職責與重點有所不同。
資訊長(CIO)負責企業整體資訊科技(IT)管理,包括資訊系統規劃、設計、開發、維運、安全等。資訊長工作範圍涵蓋企業內所有資訊系統,包括企業內部使用的系統、對外提供的服務系統,以及與客戶、供應商等合作夥伴所使用的系統。資訊長的目標是確保企業資訊系統能夠順利運作,並提供員工與客戶所需的資訊服務。
資安長(CISO)則負責企業資安防護工作,包括資安策略制定、資安風險評估與管理、資安事件應變等。資安長工作範圍涵蓋企業所有資訊資產,包括資料、系統、設備等。資安長的目標是確保企業資訊資產能夠免於遭受攻擊或竊取。
儘管資安長和資訊長在特定領域的專業職責不同,但通常需要緊密合作,以確保組織在數位時代中既能夠高效運營,又能保護其資訊安全。