【技術主管提升影響力】(1)IANS Research和Artico Search就Fortune 500安全組織設計趨勢發表摘要報告；(2)技術主管與董事會：合作的新時代；(3)為了降其影響力極大化，資安長需要技能多元化-2025/12/15

(1)IANS Research和Artico Search就Fortune 500安全組織設計趨勢發表摘要報告

這篇是2025年10月16日在Morningstar刊出的報導。IANS Research和Artico Search發表了2025 Security Organizational Design Benchmark Report摘要報告內的關鍵發現。此報告提供了資安長一份內部觀察—Fortune 500公司如何打造其安全組織、分配人員預算，以及為領導和技術職位設定薪酬水準。這是參照IANS的年度CISO Compensation and Budget Study and Security Staff Compensation and Career Survey，針對的是1500位資安長及安全專業人士，協助資安長讓組織設計與經營策略一致。Security Organizational Design Benchmark Report依三種公司類型將資料進行分類，包括Fortune 500、大型與中型公司。

這份摘要報告的關鍵發現有：

*安全領導人的深度會隨企業規模而增加。Fortune 500規模的組織典型上會有四層以上的領導層，在子部門會有專任主管，比如安全營運(SecOps)、治理風險遵循(GRC)、身份識別存取管理(IAM)與建築和工程。有超過40％設有專任的副資安長，通常作為資安長的左右手和繼任人。

*薪酬會隨組織規模而升高。Fortune 500公司SecOps主管年薪中的現金平均是30.7萬美元，比大公司同儕多出25％、中型公司同儕多出40％。

*能接觸到董事會與執行長是 Fortune 500的新標準。Fortune 500資安長有95％可直接接觸到董事會，頻率是三分之一會每季接觸董事會一次；超過三分之二會每季接觸審計或風險委員會一次。

*副資安長日趨成熟。31%的Fortune 500組織有全職、專任的副資安長，另外有13％會指派部門主管作為結合功能的職位。

IANS的講師及Artico Search網路實務合夥人Steve Martano說，「對大公司資安長而言，挑戰不只是聘僱，而是以擴張及韌性來打造組織。我們的發現突顯了Fortune 500公司正在重新定義領導層級和薪酬模式，以達成現代企業安全之需求。」

資料來源：https://www.prnewswire.com/news-releases/ians-research-and-artico-search-release-snapshot-report-on-fortune-500-security-organizational-design-trends-302585886.html

(2)技術主管與董事會：合作的新時代

這篇是2025年10月22日在The Wall Street Journal網站刊出的文章"Technology Leaders and the Board: A New Era of Collaboration"。

對於想要建立與董事會橋樑的技術主管，熟悉業務十分重要。這篇就是Nationwide Mutual Insurance Company的技術長Jim Fowler和Nationwide的董事Sara Tucker，與Deloitte顧問公司負責人、Deloitte人工智慧及資料策略實務負責人Lou DiLorenzo對話，探討技術對董事會議程、繼任計畫、有效溝通技術對企業價值。

Fowler建議，技術主管應該對董事會討論帶來的這三個面向：

1.營運指標：如果團隊做好這項工作，營運就會順利進行，因此Fowler希望花最少時間在這件事上。

2.投資的價值：董事會希望技術單位能展現其投資的價值，並確認聚焦到董事會優先事項和客戶需要。

3.研究與發展：向董事會陳述整體營運策略的演進，以及技術對企業和客戶可能有的影響。Fowler建議領導人要提供三、五、十年的技術機會預測。

Fowler認為每次董事會會議，都要是組織員工展現其實力的潛在機會。他說，「資訊長應該考慮定期讓技術團隊成員出現在董事會面前，以明述組織內正在進行的繼任計畫。」

Tucker提到，在這個機會中，董事會成員應該要尋找「雙語」的技術人才。「報告者是迷失在技術能力，還是能夠超越它而成為策略？這個將技術力轉化為經營策略實現者的能力，會讓未來領導人脫穎而出。」

DiLorenzo說，負責技術的高階經理人，應該要朝向商業價值、企業價值與策略。他說，「藉此，他們就不會迷失在技術之中。」

Tucker說，領導人不應該只在董事會上才談技術的企業價值。這些應該在休息、共餐、招待會上也談。一直都會有機會和董事會成員接觸這類事宜，讓他們對你、對你的能力有信心：可作為公司的思想領導人。

關於傳達技術優先事項，Fowler說董事會會議上可討論的新技術多如牛毛。「但是需要以每個人都懂語言來談技術，並且可應用到他們的產品、流程或服務上。董事會在此是協助性的；你必須讓他們有機會與你互動。」

資料來源：https://deloitte.wsj.com/cio/technology-leaders-and-the-board-a-new-era-of-collaboration-860267e2

(3)為了降其影響力極大化，資安長需要技能多元化

這篇是由John Burke所寫、2025年11月3日在TechTarget網站刊出的文章"To maximize their influence, CISOs need diverse skills"。以下分享做這對資安長技能、溝通等方面的意見。

過去資安長主要關注的是辨識和減輕IT威脅。但為了迎向當前的趨勢，資安長需要採更廣的觀點及正確的技能組合—除技術以外，還有領導力及營運技能，另外還有聚焦於風險與回報的思維。

今日，最成功的資安長需要將自己視為企業領導人，而非技術領導人。換言之，減少網路風險（資安長基本責任）還需要其他的技能。

當高階經理人視網路威脅為IT事宜，而非營運時，那就會有風險，他們以為網路安全只是其他人的問題，不值得高度注意。為了消除這種誤解--網路安全只是IT問題，不是經營問題，資安長必須要能夠：

*瞭解組織如何運作：業務是什麼、如何完成的，以及誰在做？

*說服利害關係人在所有營運計畫之初就納入網路安全。

*讓網路安全成為策略推手與賣點，而非事後再說或阻礙。

*瞭解所有營運會遭受網路攻擊的弱點。

*以企業風險方式報告網路安全風險。

*以業務語言量化可能或實際的攻擊影響，比如對營收與成本之影響。

*以組織達成經營目標與財務目標能力的方式，架構起潛在或實際的網路攻擊影響。

資安長的責任是領導每個人，並協助他們發揮好自己的功能。這意味要培養以下的領導技能：

*清楚、說服地向技術人員溝通，以便就統一的架構組織起核心的網路安全防禦。

*能夠清楚、有效地向非溝通人員溝通：關於他們可減緩公司風險的方式。

*能清楚地向董事會和其他公司領導人溝通，說明為何需要持續投資網路安全服務、工具和團隊，作為減緩營運與財務風險的策略。

*瞭解如何提高整個組織的網路安全意識，特別強調訓練使用者認識並避免社交工程的攻擊。

資料來源：https://www.techtarget.com/searchsecurity/tip/To-maximize-their-influence-CISOs-need-diverse-skills