資安長應一肩扛起所有資安責任？

資安風險是近期的新興的風險，各國均將資安列為企業營運的重大議題，有別於傳統的實體風險，資安事件所導致之損失不僅止於特定範圍，企業面臨前所未有的財務損失，聲譽重挫甚至造成股價下跌，侵害股東權益。因此，網路安全風險絕對不僅僅是CTO及CISO要解決的技術問題而已，必需仰賴跨部門間的通力合作，這其中包括財務長、法遵長或隱私長、首席法律顧問、企業溝通部門主管及風險長。

　管理階層該如何協助公司妥善管理治安風險，本文以下提供一些建議：

　一、財務長（CFO）：

　傳統財務風險管理模式處理實體風險的經驗並不足以處理數位資產等資安風險，尤其 是在「識別」與「量化」這兩方面必須大幅調整提升。而資安風險的「量化」基本架構是「Gross Financial Risk-Risk Transferred = Net Financial Risk」需在資安長、技術長、首席法律顧問，根據其各自專業、共同協助下才能獲得最終結果。

　二、法遵長或隱私長（Chief Privacy Officer）：

　應該制定明確且不低於法令要求的隱私政策，並確保企業內部能遵守其公告之隱私政策；其次應確實瞭解何人掌有哪些管制的數據、儲存的位置與格式及明確數據保留與銷毀的流程規定。

　三、首席法律顧問（Chief Legal Counsel）：

　應考量是否分析了資安事件的法律責任？是否評估商業機密遺失的風險？與供應商、合作伙伴或其他第三方間共同維護、運用的數據應適用什麼法令？是否採取措施來減輕可能產生的法律責任曝險部位，最有效明確的措施就是要求第三方購買一定級別的網路安全保險。

　四、企業溝通部門主管：

　正確且及時對外溝通是資安事件中非常重要的一個環節。有效的溝通可大幅地降低對公司聲譽、客戶忠誠度、員工士氣及股價的潛在傷害。

　最後還有一個重要的角色必須參與資安風險管理的共同協作，那就是企業風險管理部門，大型企業設有風險長（Chief Risk Officer），強烈建議資安長必須與風險長密切合作共同面對網路安全風險。

　風險長是經常是企業風險管理（Enterprise Risk Management, ERM） 中被忽略的一個角色，主要是因為董事會缺乏正確的風險管理概念及風險意識不足。

　過去由財務營收或會計盈虧的角度看待企業風險，將風險管理之職責歸屬於審計委員會，但實際上並沒有任何風險管理專長人士在內，形式上作到了資安風險管理，實質上則非然，未來若風險發生，董事會與高階主管得否免責，說理上勢必將難以立足。 風險長應識別、評估、轉移風險，風險移轉常見工具為保險，故必須瞭解資安保險，涵蓋哪些內容、理賠損失如何估計、可以協助評估的保險經紀人、值得考慮的保險公司等，甚至與董監事責任保險之間的風險承擔配比等等。

　資安事件直指董事會資安治理的不當，投資人及股東、客戶、合作夥伴皆可能提起主張侵權或契約上的損害賠償之訴，資安保險除了得以轉嫁相關成本或損失，也可以免除支付遭受損害的第三方合解賠償金，另一方面也有助於顯示董事會之資安治理水平，增加公司的聲譽。

　因此，企業近來開始設立資安長，代表對資安的重視，這當然是值得肯定的，但若是因此認為資安長可以獨力承擔資安管理大任，或是應該為資安事件後果負全責，那就是大錯特錯了！