資安長如何在就任第一年成功：(A)面-2025/09/26

這篇"How to achieve CISO success in the first year: essential strategies"是由Brian DePersiis所寫、2025年8月22日在EY網站刊出。本篇先分享前四個行動事項。第二篇再分享最後一個行動事項及彙整後的五個建議。

資安長從未如今日如此重要。雖然傳統責任（像風險管理、遵循及事件因應）仍是核心，但越來越需要參與公司策略、IT治理、資料保密以及供應鏈安全—這些對今日動盪環境都很重要。Ernst & Young LLP (EY US)的研究確認了：網路安全的核心地位，有84％長字輩主管說，其組織聚焦於網路安全的狀況較三年前增加。此外，85％也說其組織的網路安全焦點明年還會升高。資安長現在是長字輩主管之中，少數要為保護組織負起個人責任的主管。

作者辨識出了五組關鍵行動，是成功資安長基本上在其就任第一年要追求的，另外再提供資安長策略建議的確認清單，引導資安長進入此新角色、準備未來職涯目標。

一、審視組織目前的整體安全局勢

在今日快速變動的局勢裡，對資安長而言最重要的是，作一次全方面的組織安全局勢當前狀態審視。這涉及評估當前安全措施、確認漏洞，以及確認相關監理要求的遵循狀況。

完成評估後就應該確認：和組織策略目標一致的安全局勢強化措施。這應該包含明確的政策與程序、關鍵績效指標及流程。基於網路安全部門所追求的未來狀態，以下幾件事要銘記在心：

*辨識待改善的領域（包括長短期要做的），如此可建立新資安長的信任感。

*優先重視對安全的積極方法，可以賦予資安長權力而保護組織，對抗新威脅及保護企業韌性。

*定期更新安全協議並執行滲透測試，這不只是要保護敏感資料，還要建立對利害關係人的信任。

*接觸跨部門團隊，強化合作並培育整個組織的安全意識文化。

資安長常見的挑戰：建立和領導高績效的安全團隊，對新資安長而言一大挑戰。他們必須評估團隊成員的技能與能力、辨明落差，並培育合作和持續改進的文化。

二、建立受利害關係人信任的關係

資安長的效能會受到這些因素影響：其與整個組織利害關係人建立強大關係之能力，還有符合企業其他單位策略之能力。資安長必須瞭解組織策略，並設計支持此策略的網路安全計畫。

若少了這一點，資安長就會有這些風險：被視為只是一個技術人員、或者讓企業領導人認為網路就只是純粹的技術問題。但網路安全卻是企業問題。

資安長常見的挑戰：資安長必須平衡「安全的雙重性」：需要保護現有的基礎設施，同時推動創新以支持新的經營措施，而符合更廣泛的組織成長目標與策略。

成功的資安長會投入時間瞭解業務，繼而關切企業領導人所瞭解的主題，以及網路安全和韌性為主風險的主題和對業務之影響。資安長應該致力於瞭解同儕在做什麼。重要的是，與第一線單位主管、其他利害關係人建立關係，比如風險長、行銷長、人資長、法務長，還有採購、IT、內部稽核、遵循的主管，以及其他相關人士。

雖然認識這些人，要花時間瞭解他們對網路安全的看法、以及對你的期待。但透過有說服力的範例協助他們瞭解網路安全，而非提供過度的技術細節。

瞭解董事會和監督委員會成員之期待、發展溝通節奏和報導工具，以處理關鍵風險，並向審計委員會召集人、其他負責網路安全監督的關鍵委員會建立強大的工作關係。

資安長常見的挑戰：資安長的位階和影響力，通常與其責任的重要性不成比例，他們在組織的位階通常偏低。資安長和長字輩主管對於組織準備網路威脅之程度，看法經常會分歧。資安長必須找到有效的工具影響同儕，並獲得必要預算保護組織。

三、強化文化和意識

在組織內建立網路安全意識的文化，起自於領導層的承諾，以及資安長明確溝通願景之能力，同時也展現資安長對組織更大成長策略的瞭解。作為新的資安長，重要的是以案例領導，並展現網路安全在企業各個面向上的重要性。

發展一個全面性訓練計畫，針對組織部同角色量身訂做。使用各種形式，比如工作坊、線上學習模組與互動式模擬，以滿足不同需求。定期透過時事通訊、全員會議和內部溝通方式分享網路安全的重要性，並強調每個人在保護組織上都有重要角色。隨著風險和攻擊的頻率及複雜性日升，瞭解並保護網路安全風險就十分重要。

除正式訓練以外，培養一個開放的環境，讓員工可以安心討論安全問題，十分重要。藉由落實員工可直接報告可疑活動、潛在威脅又不怕有後續影響的流程，來鼓勵報告文化。認可與獎勵能展現安全實務範例的個人或團隊，並為其追求的行為設立正向增強機制。

四、提升網路部門的角色與績效

很多資安長仍向資訊長或技術長報告，其預算通常含在IT預算裡。EY研究發現，大多數長字輩主管(68%)認為資安就是IT預算的一部份。這會讓網路安全直接與多項營運優先事項起衝突，而非與更多企業經營的策略面向一致，比如製造、財務與業務轉型。

作為資安長，關鍵是將其角色建立為組織安全局勢和預算的負責人，其職責是推動策略安全。這或許需要資安長與上級協商、處理彼此衝突的事項，並掌握組織政治問題。

在資安長安頓好其職位後，再來就是盡快轉向團隊。對你的網路營運模式之規模作基準比較，並審視稽核與內部控制發現，瞭解潛在落差。

重要的是有一個做好準備的網路領導團隊，以執行願景。不要怕授權；你花在做事的每個小時，都應該委託出去給其他人，把時間空出來到更有價值的事項上。在就任的前90天裡，先與公司的各網路主管及團隊會面。展現對你團隊的作為有真正的興趣。花時間瞭解組織所有層級的人員，讓他們認識你。經常進行溝通，展現你的人味及經營能力。承認你不是無所不能、接納缺點，同時也自信地表現—自己在追求成長企圖及策略優先事項時保護公司的承諾。

同樣重要的是，向外尋前意見，以瞭解領導性的實務、最新的產業發展。瞭解各式各樣的產業團體、訓練機會及可接觸的會議，之後思考參加這些論壇是否有助於你建立網路策略。積極尋求外部導師與教練、進一步建立關係，如此在往後的資安長任期內就可以運用。這些人對你後續的個人職涯也非常寶貴，不管是否還在目前這個組織。

資料來源：https://www.ey.com/en_us/ey-center-for-executive-leadership/ciso-success-in-the-first-year-essential-strategies