連結策略：資安長、董事會與安全計畫-2025/06/24

這篇是2025年5月15日在Crowe網站刊出、Riley Koester所寫的"Aligning Strategies: CISOs, Boards, and Security Programs"。以下分享一些要點。

建立成熟的安全計畫，需要的不只是技術方案。需要的是資安長與董事會有強大、合作的關係。此伙伴關係，對於資助且支持網路安全措施、將安全納入組織長期願景而言，十分重要。當董事會瞭解網路安全風險、優先性與挑戰，他們就可提供必要的資源、監督以及高階經理人支持，賦予資安長權力。同樣的，資安長必須要能如此溝通安全風險—讓企業領導人有共鳴、定位自己的努力不是成本中心而是策略實現者。

公司有效管理網路風險之能力，高度依賴資安長和董事會之間的關係。此關係有各種程度的成熟性，每個成熟階段都有其挑戰及機會。

階段1：資安長與董事會不一致

在網路安全文化低度發展的組織，董事會通常缺乏網路安全專長，並視安全為技術問題而非企業最重要的事項。在此環境裡，資安長被迫要採被動姿態，需要一直證明安全措施是正當的。少了董事會層級的接納，網路安全仍是成本中心，而非投資企業韌性。此不一致會造成被動的策略。安全決定是因應事故，而非結構性規劃，而組織對新威脅仍相當弱。董事會通常未意識到真實的風險，資安長難以確保必要資源和高階經理人支持，以推動有意義的轉變。

階段2：有功能的關係有限

在此階段，資安長被期待要報告網路安全威脅及事故，包括討論最近的產業事故、以及類似事故對組織的可能影響。董事會討論在意的是立即的問題，比如安全事故、監理遵循以及IT相關救援，在此對網路安全成熟之重視是有限的。雖然資安長和董事會之間可能有信任，但安全策略仍未納入更廣的經營策略。資安長會更新資訊，但討論典型上狹窄、聚焦於特定風險。網路安全被視為必要的功能，而非對支持企業策略而言是重要元素。中小型組織（特別是非高度監管的產業）或許會在此狀態下營運。然而，他們知道網路安全是經營風險、而不只是資安長的責任。

階段3：強大、策略性的關係

在成熟性最高的階段裡，資安長與董事會在同一個團隊裡運作，認為網路安全就是核心的經營部門。董事會瞭解他們在監督網路安全風險的角色，並積極與資安長議合策略規劃。相對於僅關注過去事故，這裡的討論可能會集中在風險管理、準備組織預料到的威脅，以及將網路安全整合進經營策略。董事會成員接受他們的治理與監督角色、詢問明智的問題，以及對長期投資提供必要的支持。在此程度的伙伴關係裡，組織可管理威脅環境和減少風險，作為全面性經營策略的一部份。資安長可授權營運風險以關注於高層次規劃，董事會可將網路安全視為競爭優勢。

具有生產力、互利、溝通良好的關係可回答一系列問題。董事會在建立、支持與強化安全計畫時，通常會問以下的問題：

*網路安全威脅局勢是如何演變的，我們如何調適？

*我們當前的風險暴露為何，相比我們所訂的風險胃納而言如何？

*我們如何有效使用網路安全預算，以及哪方面可以更為有效？

*從財務面看，我們的投資量相對於產業同業和風險概況而言，適當嗎？

*我們對網路安全的路徑圖為何？

*有什麼額外的資源或投資，可明顯強化我們的安全態勢和整體安全計畫？

*我們應採行什麼新網路安全技術或策略？

*董事會成員應接受教育的具體網路安全主題或趨勢有哪些？

*我們如何準備，以因應重大網路安全事故，還有我們有明確的事故因應計畫嗎？

*最近發生了什麼網路安全事故，我們從中學習到了什麼？

*我們完全遵循相關網路安全規定以及產業標準嗎？

*當遵循失利時，會有什麼潛在的法律、財務與聲譽風險？

*我們如何將自己的網路安全成熟度與產業最佳實務進行基準比較？

*我們組織的長期網路安全成功目標是什麼，我們如何衡量？

為促進互利及有生產力的關係，資安長應該用以下的問題與董事會議合，以推動策略一致性及共同責任：

*組織最重要的經營優先事項為何，網路安全如何支持？

*董事會如何定義網路安全之成功？是沒有發生事故、遵守法規、實現業務或其他？

*董事會希望參與網路安全策略的程度為何，以及我們如何確保有意義的監督？

*我們如何將網路安全整合進更廣的經營決策裡，比如合併、收購與新市場拓展？

*有什麼指標或報導，可協助董事會更瞭解安全方面的投資配置？

*我們應如何平衡：在遵循導向要求和積極安全措施之間的網路安全投資？

*董事會對於定期的網路安全簡報以增進瞭解，心態有多麼開放？

*有什麼特殊的網路安全主題或趨勢，是我們可向董事會釐清或報告的？

*在重大事故發生時，董事會的優先事項為何：財務保護、聲譽管理、監理遵循或其他？

*我們可如何強化在安全領導人和董事會之間的合作，以因應危機？

*關於遵循監理要求，預期董事會的參與程度為何？

*董事會在向利害關係人、投資人與監理機關溝通網路安全遵循措施時，應扮演什麼角色？

*我們會多重視新的安全技術，比如AI為基礎的威脅偵測，以及零信任結構？

強化安全計畫

*角色與責任。資安長必須連結網路安全和經營策略，展現安全風險會如何影響到聲譽、財務、營運及競爭力。除了管理網路安全威脅以外，資安長應定位安全經營的實現者，以支持成長和創新。董事會則必須認識到網路安全為核心業務風險，而非只是IT問題。董事會應積極教育自己網路安全，並認識到沒有組織可100％安全。

*風險管理與策略規劃。資安長應該使用量化與質化指標，以企業語言溝通風險。董事會必須瞭解，網路安全可不只是遵循：它會影響客戶信任、投資人信心，以及企業整體的穩定性。與其尋求風險量化的完美，董事會應關注於持續改進，並鼓勵資安長提出明確、可行的見解。同樣的，資安長與董事會必須定義組織的風險胃納、平衡安全投資與企業目標。結構完整的網路安全策略應該預估風險、整合新興技術，以及符合公司長期願景。

*監理遵循和當責性。資安長必須確保安全計畫符合演變中的規定，同時積極向領導人更新風險、事故以及減緩計畫。董事會則應該提供必要的預算核准，並支持遵循措施，以避免法律和財務影響。在網路入侵事件，董事會要能忍住不反射性地責備資安長，特別是當安全計畫資金不足時。相對地，他們應關注找出落差、支持補救措施，以及強化共同責任的文化。

*持續改善和韌性。縱使有健全的網路安全路徑圖，調適能力還是很重要。事故後的檢討可協助支持改善，董事會關於學到的教訓、減緩未來威脅策略，可詢問建設性的問題。透過促進合作性的文化及持續強化，董事會與資安長可建立韌性的安全計畫，確保組織未來。

資料來源：https://www.crowe.com/cybersecurity-watch/aligning-strategies-cisos-boards-security-programs