近年來,企業雲端環境的廣泛採用,不僅為網路安全帶來嶄新挑戰,也大幅擴展了資訊安全長(CISO)的職責範圍。不僅須防範網路威脅,確保資訊系統和資料的安全,CISO如今亦須參與制定公司治理、風險管理及合規政策,以因應瞬息萬變的網路環境和不斷收緊的法規要求。
2023年底,美國證券交易委員會(SEC)通過新規定,要求上市公司必須及時揭露網路安全事件,包括事件性質、範圍和潛在影響等,未依規定揭露者將面臨重罰。這項新規不僅使CISOs責無旁貸,須確保能在四個工作天內準確判定事件的重大程度,並適時報告給監管機構,更促使CISOs必須時時掌控公司的合規狀況,以確保符合法規要求。
有鑑於此,CISOs已不能再依賴過往被動方式,僅定期向董事會匯報公司的網路安全狀況,而須採取更為主動和結構化的風險管理模式。他們必須與公司治理、風險及合規部門密切合作,整合網路安全管控措施,蒐集監控資料,自動化監控流程,以隨時掌握風險狀況,判斷事件的重大性,確保能遵循法規要求,並提高公司的網路安全韌性。
此外,為縮小科技創新和法規要求的落差,睿智的CISOs必須將網路風險策略與公司治理、風險及合規架構一致,以因應科技快速變遷和不斷演進的法規框架。唯有如此,CISOs才能採取整體風險管理觀點,有效因應網路攻擊、防範擴大的攻擊面,減少潛在的財務損失、聲譽受損和營運中斷等嚴重後果。
總括而言,隨著網路安全法規日趨嚴格,與科技發展並進,CISOs的角色責任已然超越傳統資訊安全守護者,成為公司合規和風險管理的關鍵參與者。唯有透過與時俱進的網路安全策略、完善的風險監控及合規機制,以及跨部門的緊密協作,CISOs方能在充滿挑戰的數位時代下,有效保護公司的資訊資產和營運持續性,維護公司權益。
詳情請看:
