根據2023年7月初看到一份報導“ Only 5% of CISOs report to CEOs, survey finds“中說,Heidrick & Struggles發佈了一份資安長報告結構的研究,資安長主要向資訊長報告,少數(5%)才會向執行長報告—此比例較前兩年變少。調查中有三分之二的資安長比執行長低兩階,會向直接對執行長報告的人報告。不過Heidrick & Struggles預期,資安長的工作性質在轉變,且在董事會、功能性委員會上的能見度變高,越來越被整合進組織策略面。
網址:https://www.cybersecuritydive.com/news/ciso-reporting-structure/685571/
2021年底傳出上市櫃公司未來將設置資訊安全主管政策方向,象徵主管機關到市場都越來越重視資訊安全,並在公司內要有對應當責機制的重要性。適逢2023年股東會季節結束,我們按照第九屆公司治理評鑑內部分金融業公司,蒐集最新的2022年度年報,觀察其資訊安全主管的定位、資安負責機制。
首先對於觀察對象挑選的說明。
會從第九屆公司治理評鑑選擇金融業公司,原因是評鑑指標已針對受評公司的揭露狀況初步掃描,有相當的水準;另外金融業公司因為是受到高度監理的產業,在制度設計與揭露狀況會比較全面,比較容易瞭解。本次僅針對24家金控與銀行的年報,作一些簡單的觀察。
在公司治理評鑑方面,這24家公司只有三類:前5%(佔全部觀察樣本的42%)、6至20%(佔比50%)以及21至35%(佔比8%)。可見在評鑑中排行表現都不錯。另外以資本額來看,這24家公司資本額平均為983億元,大於全體上市公司*的資本額平均的81億元。
*這24家金控與銀行,全部都是上市公司,無上櫃公司。
在負責資訊安全業務的單位方面,基本上在經營團隊一級單位(總經理下)會設資安相關組織負責相關事宜,比如資安處、資安處、資訊處等,非附屬於其他部門(比如行政部)下的資安或資訊子單位。
以主管來說,資安長就在此一級單位之上,位階大抵是副總經理層級,惟作法可能有所不同,比如有的是資安長等同副總經理等級,有的是再指派某一副總經理督導該單位主管(如資安處處長)。另外值得注意的是,有的公司擔任資安長的副總經理,本身還會再兼其他職位,比如同時兼任營運長及公司治理主管。
以主管位階來看,資安長原則上在總經理下一級,距離董事會為兩級,加之程序與政策設計,資安長要與董事會關聯並不遠,要直接報告不是難事;有的公司還會設置涵蓋資安事務的功能性委員會,亦可能透過這些委員會與董事會聯繫。
在跨單位組織方面,較常見的是在經營團隊層級設置資安任務小組,召集人有的是總經理、有的是資安長。在其成員和職權範圍方面,此任務小組具有整合性,會一併考慮到公司內不同部門、子公司的系統和監理,因而成員會包含其他相關業務主管、子公司資安最高主管一起討論及推動。就相關的業務單位來看,會有風險、稽核、法遵這幾類,比如有公司的資安會和風險領域交錯,程序上整體也會和董事會的風險委員會、審計委員會有關聯。
就年報中資通安全管理之說明,有些公司會介紹三道防線分工原則。較常見的是:第一道為各單位及資訊安全執行者,第二道為資安部門監控者,第三道為稽核部門。有的公司會明述董事會為資訊安全管理最高決策單位。
沒有留言:
張貼留言