近半的資安長現在向執行長報告，顯示其不斷升高的影響力-2025/03/16

Help Net Security在2025年 1月 24日報導，根據思科(Cysco)旗下Splunk的看法，資安長(CISO)晉升為長字輩主管可以與董事會有更多的議合，直接向執行長報告，以及為企業制定策略性決策的權力。

82％接受調查的資安長現在直接向執行長報告，較2023年47％顯著增加。此外，83％的資安長經常或大部分時間參與董事會會議。雖然60％承認具有網路安全背景的董事對安全決策有更大的影響力，只有29％的資安長說他們的董事會至少包括一位具網路安全專業知識的成員。

Splunk的資安長Michael Fanning說：「當網路安全對於推動事業成功變得愈來愈重要，資安長及其董事會有更多機會弭合差異，取得更大的調合，以及更深入瞭解彼此以推動數位韌性。」

Fanning補充說：「對資安長而言，這意味著了解資訊科技環境以外的經營事務，並且意味找到新方法向董事會傳達安全措施的投資報酬率。對董事會成員而言，這意味致力於安全第一的文化以及在影響企業風險與治理的決策上以資安長為主要利害關係人並且向他諮詢。把這些群體集合起來，必須教育董事會網路安全的詳細內容，以及讓資安長瞭解經營語言和需要，同時使得安全成為事業的推手。」

伊利諾大學芝加哥分校的資安長Shefali Mookencherry說：「在高等教育機構領導和管理網路安全及保密計畫，必須和董事會成員、保密主管、員工、教師與學生等每個人進行強有力的合作與溝通，以確保將安全議題整合進入組織的所有面向。」

Mookencherry還說：「隨著資安長角色對組織的複雜與重要性增長，資安長必須能夠平衡安全需求與經營目標、文化，並且闡述安全投資的價值。藉由建立與各部門及利害關係人穩固的關係，資安長可提供指引與領導力來推動網路安全和保密計畫。」

具資安長經驗的董事會擁有更強有力的安全團隊關係

具有資安長背景的董事會成員表示與安全團隊的關係更加鞏固，而且感覺對組織的安全狀態更有信心。比起其他的董事會成員，他們較不可能表達在保護組織方面做得不夠的憂慮（調查平均值為37％對比62％）。董事會受訪者表示，資安長與董事會之間的工作關係在以下幾個領域表現優異或非常好：

*制定並對齊策略性網路安全目標（有資安長成員的董事會為80％對比沒有資安長董事會的27％）

*溝通里程碑、安全目標達成和紀錄計畫的進度（有資安長成員的董事會為60％對比沒有資安長董事會的16％）

*編列充分預算以達成目標（有資安長成員的董事會為50％對比沒有資安長董事會的24％）

*資安長與董事會有健全關係也往往與整個組織有更好的協作關係，報告指出與資訊科技的營運部門（82％對比其他資安長的69％）和工程部門（74％對比其他資安長的63％）的夥伴關係尤其穩固。

具有良好董事會關係的資安長也更可能被賦予追求生成式AI使用案例的能力，比如創建威脅偵測規定（43％對比其他資安長的31％）、分析資料來源（45％對比其他資安長的28％）、事件回應與鑑識調查（42％對比其他資安長的29％）以及威脅搜尋的超前部署（46％對比其他資安長的28％）。

弭合資安長與董事會的分歧

雖然資安長與董事會在安全優先事項上更為契合，惟差距仍在。資安長和董事會在最優先事項上最大的落差包括： 

*以新興技術創新（52％的資安長視其為優先對比董事會成員的33％

*提升或重新訓練安保人員技能（51％的資安長視其為優先對比董事會成員的27％）

*對收入成長的措施有所貢獻（36％的資安長視其為優先對比董事會成員的24％）

董事會對資安長建立新技能而成為更佳的事業領導人有高度期待。然而，學習新技能使得資安長工作更為複雜，53％說自從接手這份工作，他們的責任與工作期待已變得更為困難。當被問及資安長應該發展什麼技能時，在重要性方面最大的差距包括：

*經營敏銳度（董事會為55％對比資安長的40％）

*情緒智商（董事會為45％對比資安長的35％）

*溝通（董事會為52％對比資安長的47％）

*監理與遵循的知識（董事會為44％對比資安長的57％）

儘管董事會與資安長對於核心網路安全的關鍵績效指標(KPIs)合意，79％的資安長說，其安全團隊的KPIs近年來有重大改變。46％的資安長說，達成安全里程碑是他們成功的指標，董事會受訪者如此認為的只有19%。

保持遵循是經營要項

監理環境變得更加複雜、廣泛與嚴格，要求更快速的事件報導，而且直接了當地施加更多責任給資安長。雖然保持遵循對經營很重要，但僅15％的資安長把合法遵循列為首要的績效指標，與 45% 的董事會相比存在顯著脫節。

21％的資安長透露他們迫於壓力不得報告遵循議題，然而，59％說若他們的組織過去忽視遵循要求，那當時他們可能成為吹哨人。

網路預算反應出支持的不一致與不匹配，29％的資安長說他們收到了網路安全措施的適當預算並且達成安全目標，對比41％的董事會成員認為網路安全預算充足。

64％的資安長表示，當前的威脅與監理環境讓他們擔心做得不夠。18％的資安長表示，因為過去12個月預算削減，無法支持此項經營措施，而64％說支持不足會導致網路攻擊。

資安長也表示減少安全解決方案與工具(50%)、凍結安全招聘(40%)以及減少或取消安全訓練(36%)為最主要的節省成本手段。94％的資安長表達自己是破壞性網路攻擊的受害者，55％至少經歷過幾次，另外還有27％經歷過許多次。

資料來源：https://www.helpnetsecurity.com/2025/01/24/cisos-board-relationships/