拜地緣衝突所賜，台灣有一種特殊的天然資源是綿綿不絕的駭客攻擊，公、私部門久病成良醫之外，資通安全管理法也在 2019 年頒布，由政府機關與關鍵基礎設施率先強化資安，亦逐年滾動強化應辦事項，並鼓勵機關勇於通報，加快應變取代隱匿不報。

其中，資安長應由機關之副首長兼任（無副首長者由首長指派），負責推動及監督機關內資通安全相關事務。在私人企業的部分，金管會針對上市櫃公司，分階段要求配置資訊安全人力資源，其中第一級公司115家已於111年底完成設置資安長、資安專責主管及人員；第二級公司1,387家預計於112年底前完成設置資安專責主管及人員。

Gartner最新的資安從業人員調查報告顯示，有一半的資安人員會在2年內離職，這些人當中更有25%不願再從事資安工作！這些數據顯示資安行業是高人才耗損的工作，高壓、過勞、黑鍋、士氣低迷等「職業傷害」是資安工作的常態，導致資安人才稀缺，工作更吃重做不完，加劇既有團隊的耗損，當資安長不論是空降或拔擢，手下無可用之兵，手上無可用之器，則資安長遲早也淪為砲灰長。

產業資安轉型，莫讓資安長成為砲灰

華爾街日報在2023年針對美國上市企業所揭露的年報進行研究，統計發現有高達76%的董事會至少有1位董事會成員是具備資安專業，這表示資安不再只是電腦中毒就重灌，不再僅是技術問題，而是關乎企業營運、企業韌性，成為董事會的新課題。台灣的上市櫃企業在這方面的公司治理與資訊揭露正在急起直追，一方面符合法遵，另一方面也積極對標國際上的同行，效法領導者的資安韌性作為。

駭客威脅日新月異，市面上的資安工具玲郎滿目，資安長在溝通與打造企業的資安韌性時，選擇適當的方法論有助於資安長向上對執行長或董事會溝通，向下對資安團隊與廠商解決方案作適當部署。筆者倡議資安長這個高度應採用由前美國銀行首席科學家Sounil Yu 所提出的Cyber Defense Matrix (CDM；資安防護矩陣)，國內亦有許多企業的資安長在採用此方法論進行資安韌性的布陣，甚至以此在董事會進行有效的資安溝通。

CDM基本上是一個5 x 5共25個守備區塊所組成的資安防護矩陣，其中一軸是企業應守備的5種資產，包括裝置（Device）、程式（Application）、網路（Network）、資料（Data）與用戶（User），而另一軸是企業可採用的5種手段，包括識別（Identify）、保護（Protect）、偵測（Detect）、應變（Respond）與復原（Recover）。

數位與資安都韌性　台灣才更有力

這意謂著駭客不論從哪一種資產找到企業的可能資安破口，要成功打趴採取CDM布陣的企業，至少得連續過五關（打穿5種守備手段），讓駭客困難重重，絕非吃軟柿。資安長手拿CDM羅盤，在面對市面上的資安工具縱使有成千上萬種，關鍵字千奇百怪，也能亂中有序地把每一個解決方案定位聚焦到CDM羅盤，到底這個資安產品最適合用在哪一個守備區塊，既不應該是廠商所誇口的一夫當關，也不應該是錯置地拿防毒對付內賊（應拿帳號權限盤點工具），或拿重灌對付資料外洩（應拿數位鑑識工具）。

中華軟協今年的重點工作之一是讓資安產業與產業資安共創雙贏，由資安韌性促進會盤點資安產業的守備能量，結合資安長聯誼會對焦產業資安的守備現況，促進同業交流布陣與量測的經驗分享，完備台灣資安防護矩陣的成熟度與最佳實務，讓各行各業在高度數位轉型，擁抱世界之際，更有信心和能力具備資安韌性。企業好韌性，台灣才會更有力。

(本篇文章轉載於財訊專欄)