這一篇是2017年3月21日由Christophe Veltsos 所寫的"Five Ways to Improve the CISO-Board Relationship",內容是介紹NACD附錄中關於董事會與資安長關係之建立的一些建議。當年就是看到NACD這一份資料,之後我就對台灣上市櫃公司展開了調查。這些內容迄今超過六年,但仍有很大的參考性,尤其是台灣上市櫃公司未來可能要設資安長。以下分享一些重要內容。
National Association of Corporate Directors (NACD)在2017年出版了“Director’s Handbook on Cyber-Risk Oversight”,對董事會和資安長之間關係提供了完整的看法,以及對董事會提供最新的建議,以監督網路風險。在這個手冊裡,有三部分提出了很有價值的建議:
*附錄B-併購階段的網路安全考量
*附錄E-董事會層級的網路安全指標
*附錄I-建立與資安長之間的關係
該手冊的附錄I對董事會對資安長的考量方面,提供了一些最新的問題。以下是5個董事會可建立及強化與資安長關係的方法。
1.試圖瞭解資安長的任務及角色
從組織觀點看,對資安長重要的是:充當管理階層與董事會的耳目、參與網路風險方面的討論,並確保有整合進企業風險管理(ERM)計畫之內。
此外,董事會應該要審視資安長和其他長字輩主管之間互動的頻率與品質。為確保高階經理人在網路安全上有適當的參與,該報告提出以下的建議:
*建立一個安全治理模式與計畫,鼓勵整個企業的合作
*製作高階管理層教育的基本資料
*讓長字輩主管參加發展事故回應計畫,並將看法向董事會分享
*對IT基礎設施和企業流程落實安全標準
2.在事故發生前就認識安全團隊
董事會往往到事故發生,才急於認識安全團隊。根據Deloitte Review,少數資安長(18%)有管理背景,或具有和董事會、長字輩主管一樣多的經驗。
董事會應該及早、經常和資安團隊互動,建立並強化信任感。這些互動也會給資安長機會瞭解董事在網路安全方面的背景知識程度。
3.審視資安長影響網路
當提及內部的影響力與能見度,他們不能被孤立成只負責IT的人。資安長需要積極參與組織所有面向,包括企業發展、供應鏈與第三方供應商,而且要與法務、內稽與人資部門合作,確保有適當的員工就任、離任實務。
4.評估資安長績效合組織的安全狀態
雖然有些組織有先見之明設了資安長,但是目前擔任此職位的人未必適當。相對於從IT角度,安全領導人應該如此處理安全問題:從網路風險及他們影響組織達成營運目標之能力。
資安長必須是組織、高階領導人及董事會的策略顧問,他們必須經常且有效地溝通。有些資安長難以溝通,是因為不熟悉該領域及組織文化,仍視其為有限、狹隘的職位。
5.主動審視組織的資安狀況
董事必須經常討論、並持續審視組織的網路安全。董事會應該和資安長一起討論:從最近的事故學到了什麼,以彌平所有落差,並確保有吸取教訓、將之納入事故回應作法。
從計畫與監督的角度看,董事會需要確保組織在這些事情上有足夠的進步:處理最關鍵的網路風險、善用內部稽核與外部滲透測試,以及進行紅隊演習。對有仍有落差之處,董事會應該積極審視管理階層的計畫,並確保投入了適當的資源。
資料來源:https://securityintelligence.com/five-ways-to-improve-the-ciso-board-relationship/
.jpg)
沒有留言:
張貼留言