【作者】IANS
【資料來源】PR Newswire 
【發佈日期】2026年 3月 3日
【介紹者】閻書孝研究員
【審訂者】邱明志委員
【簡介】    

IANS、Artico Search與The CAP Group的新資料發現，雖然向董事會報告網路安全如今是稀鬆平常，很多董事會與資安長(CISOs)在會議期間更關注遵循，而非重要的策略對話。此舉可能導致董事會對未來重要議題缺乏瞭解，以及在日益關鍵且複雜的威脅之下冒著監督不善的風險。

《2026年基準報告：董事會如何與資安長合作》(2026 Benchmark Report: How Boards are Partnering with CISOs)發現，95％的資安長定期向董事會提供最訊息，表明有成熟的報告週期。然而，董事會參與的深度不盡相同，主要侷限於「聆聽」與「接收」訊息，而非深入探究威脅與業務衝擊。舉一個例子來說，儘管82％的董事認為資安長對監理趨勢的報告令人滿意或傑出，僅47％的董事覺得資安長能夠闡明威脅不斷演變的影響。

研究結果顯示，監督的有效性比較不是靠報告的週期，而是更多仰賴於對話的深度，以及決策的明確性。

IANS的講師與Artico Search網路實務合夥人Steve Martano說：「向董事會報告網路安全在架構上已經成熟，時間分配給資安長變得更司空見慣，但是落差仍然存在。最佳的安全簡報引發網路風險與經營風險的通盤討論。推動這些討論的資安長建構資料導向的簡明敘述，並培養關於風險容忍、風險策略以及網路/技術風險投資報酬率的討論及腦力激盪。」

《2026年基準報告：董事會如何與資安長合作》的主要發現如下：

*網路風險更新較偏向事務性而非策略性：從資安長提供的風險現狀、專案措施以及資源需求，董事會報告有了更清晰的透明度。然而，近半或更多也指出，報告演變中威脅 (53%)及人工智慧(AI)驅動風險(47%)的影響需要改善，顯示了更前瞻性見解之需求。
*大多數董事會與資安長有對話，但是仍「受限於既定程序」：雖然董事會逐漸承認網路安全是常務性的監督責任，深度信任與伙伴關係依然不均衡並且相當不普遍。僅30％的董事會形容與資安長的關係是牢固且合作良好。
*更新頻繁，但時間有限。大多數董事會與資安長已建立了管道—95％的資安長定期向董事會提供更新，其中60％參與整個董事會溝通。但是他們的時間短―約30分鐘左右―並且對於35％的董事會而言，資安長的安全更新只限於在委員會討論。

IANS的資安長研究高級總監Nick Kakolowski說：「我們看到的現象是儘管董事會持續被告知，但是很多還持續著力於將網路報告轉化為策略決策。董事想要對接下來會發生什麼事有更清楚的洞察，特別是當AI重塑威脅局勢及企業風險時。」

董事會報告資料也強調了AI是一項關鍵治理問題。

The CAP Group的執行長Brian Walker說：「AI現在是網路風險的主要驅動力—隨著AI模型成為高價值資產，既會引發更精準的攻擊，又會帶來新的損失型式。AI與網路安全密不可分，董事會必須瞭解兩者的經營風險。」

【網址連結】
https://www.prnewswire.com/news-releases/new-report-reveals-key-gaps-in-board-ciso-strategic-dialogue-on-cyber-risks-302701989.html