【作者】    Shannon Williams
【資料來源】    SecurityBrief 
【發佈日期】    2026年 4月 16日
【介紹者】    閻書孝研究員
【審訂者】    邱明志委員
【簡介】    

根據公司治理研究所(Corporate Governance Institute)的資料，英國和愛爾蘭有30%的董事會將網路安全與資料保護列為首要經營風險。這個數字五年來維持不變。

這個研究發現是依據對500位董事及長字輩主管的調查，表明若無更嚴格的治理，高階主管承認網路威脅，卻未對它進行更嚴格的治理。

隨著公司抗衡勒索軟體、資料盜取以及數位系統中斷，網路安全已成為很多董事會的固定議題。不過最新的研究顯示，持續留意並未導引董事會評估此議題的方式發生更廣泛的改變。

該研究機構表示，過去五年持平的數字或許指出，網路風險已變成常態化，而非受到更嚴格的監督。就此觀點而言，董事會察覺問題，但很多董事會將網路風險深植於治理結構的情形還不夠。

公司治理研究所的共同創辦人與院長David Duffy將此缺乏進展情形描述成一個警訊而非穩定的證據。

「網路安全已成為董事會風險議程的恆久特色。30%的董事會仍將其列為首要經營風險且五年來沒有改變，這個事實顯示光察覺已經不夠了。」

這個數字的穩定性不必然意味進步。在很多組織中，網路風險不過是變成一項可接受的風險，卻不是受系統性管理的風險。

研究也突顯出產業之間的顯著變異。尤其是醫療保健業領導人表示更為憂心，今日有35%的公司將網路安全列為首要經營風險，五年前則是28%。

該數字上升反映出醫療保健業組織對網路威脅的曝險情形，尤其是隨著敏感的病患資料、數位基礎設施以及相連的醫療系統均成為提供服務不可或缺的一環。

當組織變得對於數位化的依賴更高時，網路事件帶來的後果會顯著成長。對於醫療系統支持的重大服務及敏感資料的產業，比如醫療保健業，風險特別高。

劃分產業

醫療保健在調查中尤其突出，對於網路安全的擔心遠高於全體樣本。35%的醫療保健業領導人現在將網路安全列為首要經營風險，高於五年前的28%。

此增加反映出醫療保健供應商越來越仰賴數位紀錄、連網設備以及支持臨床操作的系統。資料外洩或斷線影響的不只是資料保護，還有服務和照護的連續性。

其他產業的數據並未被詳細列出，但廣泛的結果指出整體經濟更複雜的樣貌。頭條數字未改變顯示某些董事會的方法可能已經有所改進，然而其他董事會則維持不變。

該報告辯稱，承認網路風險僅是此問題的一部分。董事會也需要明確的監督機制、董事間具備更強的網路素養，以及在治理結構內對於維持韌性的正式責任。

此事標記著對待網路安全主要由技術團隊負責的問題產生了轉移。取而代之地，該研究機構將其視為問責、風險責任以及董事會定期審視的問題。

隨著網路安全事件從IT部門跨越到營運、監理風險、聲譽和客戶信任的層面，這種差別益形重要。對董事會而言，問題不在於是否存在網路風險，而是董事是否擁有資訊和流程來適當監督網路風險。

Duffy說，這要求董事會有更直接的角色。

「網路安全不能再被視為交付給資訊科技部門的技術問題。它本質上是一個治理挑戰，要求董事會層級的監督、明確問責以及董事的持續投入。」

該研究機構的總體結論是網路風險應被視為組織韌性的一部分，尤其是隨著數位基礎設施變成日常活動的重心。在實務上，這意味著重複審視而非年度討論，並且設置讓責任明確的治理結構。

近年來，許多公司已經增加對網路工具和外部顧問的支出，但調查顯示，董事會實務或許沒有跟上。過去五年穩定的風險排名顯示，單靠技術投資並未解決組織最高層的憂慮。

該研究發現也為受嚴格監理或關鍵服務產業的董事們提出了一個更廣泛的治理問題。若網路風險持續是董事會議程的重要議題，董事或許需要展現的不只是察覺威脅，還要提供監督正隨著時間改進的證據。

「未來幾年準備最好的組織將是那些把網路治理視為董事會持續性責任的組織。網路風險不是一年可能檢討一次的事務；它要求最高層持續監督。」

【網址連結】
https://securitybrief.co.uk/story/uk-boards-still-see-cybersecurity-as-top-risk-survey-finds