【作者】Rosalyn Page
【資料來源】CSO 
【發佈日期】2025年 6月5 日
【介紹者】    閻書孝研究員
【審訂者】    邱明志委員
【簡介】    

董事會給資安長(CISOs)足夠時間的情況短少，如此有限的參與導致組織沒法準備來完全瞭解和管理企業風險。根據Advanced Cyber Security Center(“ACSC”)的報告，網路安全議程的時間經常限於每季的委員會會議和每年的全體董事會會議。

在實務上，這意味大多數資安長在董事會風險、審計或技術委員會議的擁擠的議程上只獲得15至45分鐘的時段，而在董事會年度會議上的時間也相仿。

IANS Research講員與Bedrock Security安全長 (CSO) George Gerchow表示：「網路議題通常在日曆上開始時為一小時，然後被壓縮到半小時，有時候若是15分鐘則算你走運，整件事只能說糟糕。」

網路安全被限縮在更新營運或遵循狀況，與廣泛的經營策略和風險管理的保持區隔。Gerchow說：「它在某些公開發行公司最可能獲得審計委員會關注而實際跟董事會本身在一起的時間非常少。審計委員會關切的事務是遵循，而非真的討論網路安全風險。」

雪上加霜的是董事會經常缺乏工具、整體脈絡或結構來有效質疑和影響網路策略。正因如此，董事會減少給資安長的時間最終只收到報告而非有價值的回饋。

董事會需要精通網路風險，這意味著把網路安全看待為策略性經營風險，而非孤立的技術問題。

Gerchow說，有時推動董事會互動的因素是一個安全事件。「接下來問題是，為何走到這步田地呢？」

董事會專屬時間意味開放討論網路風險

根據ACSC看法，維持網路安全成為一個分立的議程項目代表組織在檢討整體策略性業務時，不會自動把它當成最大風險之一。問題在於審計委員會分配給資安長的時間有限，不足以進行網路安全的全面討論。越來越多的時間需要用於管理複雜風險環境的對話。

Gerchow先前擔任資安長時有類似的節奏—每季與安全委員會和董事會開會。他也曾與董事會成員有閉門會議。他告訴CSO：「即便是執行長，公司任何員工都要掛斷電話或離開房間，故只有你與董事會或董事開會。」

他發現這些對促成坦誠對話特別重要，內容可能圍繞在預算、新安全實施的路障，或者他及其團隊是否獲得足夠時間落實安全計畫。「他們或許會問：『事情真正的發展是什麼？你有獲得所需的支持嗎』？這是一場沒有其他公司高階經理人在場的透明對話。」

Gerchow發現這是一個公開討論的寶貴機會，用不著考慮上下責任關係或其他阻礙坦誠對話的因素。「我是說真話的人，但我知道其他資安長不會在定期舉辦的董事會上向執行長、財務長或任何的報告對象表達其想法。他們比較可能堅持與風險對抗取得進展。」

資安長與董事會之間完全合作的模式

完全坦誠的安全討論不只是「錦上添花」。美國證券交易委員會(SEC)已指出，期待公開發行公司的高階經理人在他們如何評估和溝通網路安全風險方面能夠透明。

進一步而言，資安長對高階領導層和董事會溝通風險方面扮演重要角色。為提供策略見解，資安長需要避免過多技術性細節，反而該使用一致的架構、風險註冊以及韌性指標。

在利寶互助保險集團(Liberty Mutual)，網路安全既能是一個單獨的主題，也可以當成更廣泛技術策略討論的一部分來向董事會報告。Liberty Mutual的資安長Katie Jenkins說：「向董事會全員報告具有價值，可讓所有董事接觸一些網路趨勢以及網路安全計畫的健康狀況。」

Jenkins發現，兩種方法都很寶貴，單獨對話聚焦於風險及減少負面影響的策略，而融入技術討論則展現安全不是孤立的職能。

她說：「有效的安全成果取決於整個組織跨部門的承諾。當我向董事會報告時，目標就是教導當前的趨勢和新的威脅、釐清風險―避免短報或浮報―並對於我們有效分配資源以應對風險灌輸信心。」

Jenkins目的是發展「對話勝過獨白」以瞭解董事會最迫切的問題，並且根據董事會的焦點調整她的簡報，更清楚地傳達或納入相關案例。

為此，Jenkins在簡報中遵循三個原則。第一，清楚風險對企業影響的關聯性，讓問題更具體且與董事會成員更攸關。「當討論事件或風險時，我將它們與對事業運作的潛在影響連結。」

實地示範來展現現在的威脅。這讓整件事清楚且有助於建立信任，超越「這件事就信任我」的說法，展示我們努力投入的即時案例。「最近一次董事會更新，我示範演出攻擊者喜愛使用之工具包的簡易性，並展示了實施特定安全控制措施前後的效果。」 

最後，Jenkins也特別強調安全也如何成為創新的推手。「我強調安全如何透過提供防衛柵欄來實現創新，這與我們工作中更具防衛性的部分形成很好的互補。

跳脫純粹的委員會報告不只是戰術性舉動。它反映出資安長為眾多經營倡議提供意見的需求日益增長。Jenkins相信資安長可以為AI採用、營運韌性、技術現代化、資料及數位轉型、併購、供應商與採購策略，還有地緣政治風險提供寶貴見解。

她說：「我們的貢獻不僅限於網路安全事件；我們在企業風險管理和危機反應中也扮演至關重要的角色。」

【網址連結】
https://www.csoonline.com/article/3999922/get-out-of-the-audit-committee-why-cisos-need-dedicated-board-time.html