資訊安全治理

資訊安全治理是公司治理的延伸，為一套由董事會與高階管理層建立的系統，用以指導及控制組織的資訊安全活動。其核心目標是確保資訊安全策略能支持業務目標、優化風險管理、有效利用資源並遵循法規義務。國際標準 ISO/IEC 27014:2020 提供了資訊安全治理的框架與原則，其核心流程包含「評估（Evaluate）、指導（Direct）、監控（Monitor）」，簡稱EDM模型。這與「資訊安全管理」不同，後者（如ISO/IEC 27001）著重於建立、實施、維護及持續改善資訊安全管理系統（ISMS）的「執行」層面；而治理則處於更高層次的「指導與監督」角色，確保管理活動的方向正確且具備成效。在企業風險管理體系中，資訊安全治理是連結企業策略與資安執行的橋樑，確保資安投資能創造商業價值，而非僅是IT成本。

企業應用資訊安全治理，通常遵循國際標準 ISO/IEC 27014 的「評估-指導-監控」（EDM）模型。具體步驟如下： 1. 評估 (Evaluate)：董事會與高階管理層需定期評估內外部利害關係人的需求、威脅情勢、法律與合約要求，以及當前的資安風險狀況。此階段需將資安風險與企業的策略目標連結，以商業語言量化潛在衝擊。 2. 指導 (Direct)：基於評估結果，董事會授權並指導管理層制定相應的資訊安全政策與策略。這包括批准資安預算、分配資源、建立明確的權責劃分（如任命資訊安全長 CISO），並確保資安文化能深植於組織中。 3. 監控 (Monitor)：建立關鍵績效指標（KPIs）與關鍵風險指標（KRIs），例如「重大資安事件數量」、「法規遵循審計通過率」。董事會需定期審查這些指標的監控報告，以驗證資安策略的執行成效。 透過此流程，一家跨國製造業成功將其全球供應鏈的資安合規率提升了25%，並在兩年內將因資料外洩造成的平均損失降低了40%。

台灣企業導入資訊安全治理時，普遍面臨以下三大挑戰： 1. 治理文化與認知差距：許多企業董事會仍將資安視為IT部門的技術責任，而非攸關企業存續的經營風險，導致缺乏由上而下的策略指導與資源承諾。 2. 資源與人才限制：台灣以中小企業為主，普遍缺乏預算聘請專職的資訊安全長（CISO）或建立專責的治理團隊。 3. 法規遵循的複雜性：企業不僅需遵循台灣的《個人資料保護法》、《資通安全管理法》，若有國際業務，還需應對歐盟GDPR等境外法規，大幅增加了合規治理的難度。 克服對策： 優先行動是建立由高階主管與外部顧問組成的「資安指導委員會」，定期向董事會報告。解決方案可透過委外服務（如vCISO虛擬資安長）補足人才缺口，並採用GRC平台自動化監控。預期6個月內完成初步治理框架建立，12個月內展現關鍵風險指標的改善成效。

積穗科研股份有限公司專注台灣企業Information Security Governance相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact