電腦的病毒從入侵後大約 221 日才會被偵測                                在風險辨識 /評估 /溝通 /應變流程方面，
              到，這些病毒在被發現前，通常有足夠的時間                             重點則在於如何化繁為簡，將企業的資安風
              在系統中四處找尋下手目標，進而取得某種程                             險圖譜以簡潔扼要的方式呈現出來，讓管理
              度的控制權，資安管理猶如一場與時間賽跑的                             者可以快速地掌握最具重大的資安風險、釐清
              耐力戰，提高資安事件 /漏洞被發現與處理的                            不同行動方案的優先順序，進而能掌握時效正

              時效性，才能遏止災害無止境地擴大蔓延，從                             確決策。誠如 Mr.  Zandani所言，若說管理者
              而將損失降到最低。如Mr. Zandani所言，資安早                      的職責在於決定前進的方向和節奏，那麼資訊
              已不是「If」（若是發生了以後會如何）的問題，                          的即時、正確與完整性便是管理決策最重要的
              而是「When」（何時會發生）的問題，不難理解                          基石。資安風險資訊該如何量化與呈現才夠清
              為何近來資安議題成了各界共同的焦慮，根據                             楚明確呢？ Mr.  Zandani也在研討會中分享了各
              KPMG去年所做的CEO Survey，資訊安全儼然已成                     種用來監測不同資安風險指標的CISO  Strategic
              了企業執行長的頭號公敵。                                     Dashboard，內容除了上述各項監控指標以外，
                  Mr. Zandani也提到，資安管理並不存在所謂                    另還包括了依據風險的即時動態所設算的固有
              的「最佳實務」（Best Practices），金融機構必須                   風險（Inherent  Risk）、弱點分析（Vulnerabilities

              擁有動態評估、控管與因應資安風險的能力，才                            &  Asset  at  Risk）、控制及殘餘風險（Control  &
              能在瞬息萬變的市場環境中明哲保身，而明確的                            Residual  Risk）等各種由量化風險資訊轉化而
              風險管理制度、完善的風險監控指標、系統化風                            來，具有決策價值的商業智慧。
              險辨識／評估／溝通／應變流程，以及跨功能領                                 第四大支柱的重要性亦不言可喻，企業資
              域團隊協作等四大支柱，則是建構動態化資安                             安防護網的建立和維繫，需要集結三道防線
              風控能力最關鍵的要素。                                      的力量，才能將資安控管的流程從業務端、
                  在風險管理制度方面，資安風險管理的政                           風 控 端 到 IT 端 無 縫 串 接， 除 了 得 有 明 確 的

              策與流程應從業務策略目標、組織總體的風險                             資安政策方針、系統與流程規劃發揮導引作
              胃納量，乃至於資安風險胃納量及其所衍生的                             用以外，跨功能彼此間溝通協作的默契與順
              關鍵風險指標（KRI）來定調。                                  暢度也會對資安控管的品質帶來決定性的影
                  至於風險監控的範圍，不 僅 需 涵 蓋 外 在                      響，Mr.  Zandani 也特別提到，風險認知的差
              客觀環境的趨勢，包括像是科技與營運模                               異往往是跨部門溝通的最大阻礙，風險是一個
              式（Operations  &  Technology）、 法 律 及 法            相當抽象的概念，每個人對於風險的看法往往
              令遵循（Legal  &  Compliance）等面向，也須                  會因為衡量的角度不同而有別，把抽象的風
              將內部組織運作方式以及管理層或團隊對於                              險變成一個可以被溝通與正確理解的具象化
              風險的覺知與應對方式納入其中，如人為因                              概念著實不易，是一門需要長時間不斷修練的

              素（Human  Factors）、領導風格及風險治理                      工夫。
             （Leadership  &  Governance），此意味著資安                     提高金融資安防護得靠政府與業界通力合
              風險所反映的不單是環境的變化，也是人和組                             作，監理規範是促進銀行資安防護走向完善、
              織及環境互動的結果。                                       現代化所不可或缺的重要關鍵，健全的資安風





                                                                                          台灣銀行家2019.5月號 63







   P052-069-19TD1643.indd   63                                                                               2019/4/29   下午9:32