觀點

資訊安全治理:董事會與高層應全面主導

2011 / 06 / 03
陳瑞祥
資訊安全治理:董事會與高層應全面主導

在美國安隆事件後,公司治理(Corporate Governance)開始受到國人重視,大眾希望公司董事會能落實經營者的責任,促進經營績效、保障投資者權益。美國的國際資訊系統稽核與控制協會(ISACA)針對此趨勢也著手討論資訊治理(IT Governance)議題,其中針對目前企業風險極高的資訊安全問題,出版了《資訊安全治理》(Information Security Governance)白皮書,建議董事會及高階主管應多注意資訊系統安全與控制問題。

董事會之於資訊安全治理

這個被視為資訊人員責任的資訊系統被提出來討論,是否出了什麼問題,值得每天專注生產、業務、併購、投資策略的董事們注意?還是公司的內部控制與內部稽核制度出現了漏洞,無法控制這些風險?對大部份的董事及公司高階經理人而言,資訊系統之完整、正確、可靠應該是資訊人員的責任,為何還需要他們參與?

在這份《資訊安全治理》文件中強調,董事會對公司資訊安全治理應要擔負責任,其理由為資訊安全與企業風險管理有關,公司之研發成果資料、策略、合約文件、智慧財產、資訊系統必須是企業保護之重要資產,資訊資產代表股東投資在公司的價值,也是股票的價值。公司未能作好資訊風險管理,可能危及股東權益,因此,公司善盡保護重要資訊資產的責任,絕對是整體企業風險管理與內部控制重要的一環,因為公司內部控制(董事會管理階層制訂)之設計及要求是要能確保公司營運效果和效率,以保障資產安全;遵循法令,對於企業每日賴以維生的資訊系統及資訊資產也應同樣受到注意,這是資訊安全治理所要提出來探討的問題。

資安打噴嚏 高層重感冒

新聞媒體經常報導病毒入侵、駭客攻擊網站等資安事件,使大家以為資訊安全即是搞網路安全,是資訊技術人員的事,這些網路病毒駭客恐怕引不起日理萬機的董事及高階主管的高度興趣,但當某同業公司發生研發、業務機密資料外洩,造成公司競爭力降低、股票市值下跌時,公司董事們才會開始注意這個問題。

例如國內某金融單位因資料外洩事件導致鉅額財務及商譽損失,包括董事長、總經理在內之高階主管因此去職,董事們即開始重視公司的風險管理及內控問題。美國也是在911事件後,政府重新檢討國家安全基礎建設保括資訊安全,對於銀行、電訊、醫療行業及重要政府單位是否做好資訊安全管理及防護、是否善盡保護民眾個人資料,責成相關單位負責協助、監督,他們也了解在這方面的人才訓練及工作並不足夠,只是現在必須要好好認真的去執行。

捍衛公司資產  主管責無旁貸 

公司治理要求公司資訊完整、正確、即時,在全球網路興盛,企業交易依賴資訊系統及電子化的環境下,公司的內部控制是否仍然有效?現況如何?我們是否太過有信心?

根據KPMG 2002年全球資訊安全調查之資料,似乎我們在這方面做的不甚理想,原因為何?是認知不足或高階主管對資訊安全未盡應有的注意?董事會及高階主管對於資訊安全是否真正負起責任?還是仍然歸由資訊人員或稽核人員負責?其實公司內部控制制度說的很清楚,保護公司資產是高階管理人員責任,董事會要清楚瞭解公司重要資訊資產及機密資料是否有風險以及保護程度做得如何,並採取實際行動才行。

現實的狀況是,資訊安全一般仍然被視為是資訊人員的責任,但是資訊人員是否有足夠的預算及支援?一個有趣的問題是公司究竟在資訊安全上投資多少資源?依據調查資料顯示,國內大概是佔資訊預算的5%(大部份是買資訊安全之軟、硬體),要以有限的預算去保護公司最有價值的資產,恐怕不易。

同時我們發現到,公司經營管理當局未能將資訊安全管理納入整體管理系統中,在網路安全防範上則相當之投資以防範外部入侵威脅,這些就以往發生之重大資安事件來看,損失金額並不大;相對的,內部人員之舞弊或資訊錯誤中斷造成營運受到影響,恐怕損失更多。資訊安全資源之分配是否正確,值得思考。

安全防護不只是買防火牆

我們重新檢視一下資訊安全的目的,其實不難瞭解其對企業經營之重要性,包括確保公司各項交易是可被信賴的、資訊系統之品質;建立系統遭攻擊可以應付的能力、避免系統中斷、機密資料被誤用等。

問題是這些風險是否有被充分反映給董事會?對大部份的董事會而言,資訊控制或安全管理並不經常被列到董事會之重要議題上做討論;反之,企業是否要導入ERP系統及供應鏈系統或企業電子化,則經常在董事會議程中可看到,但對於進行這些重大資訊系統投資專案時,如何確保資訊系統之完整正確及可靠,則少受到注意。所以經常看到系統在上線後發生資料錯誤,無法達成資訊導入之目標;我們也常看到公司未善盡保護客戶個人電腦資料而造成商譽損失等訴訟情事,這些都可以透過資訊安全基礎建設予以預防,問題是誰要去大貓那邊掛鈴鐺?

資訊安全一般被認為是負面的、會阻礙發展的、是不方便的、是要花成本的、是多餘的工作,所以絕對不是需要優先處理的工作,特別是在資訊人員極端精簡且工作繁重之下,資訊風險就被忽略了;董事會對資訊議題可能沒有興趣,我們不要自找麻煩;我們有防火牆…等;這些通常是管理人員的擋箭牌,(不要忘記大部分遭受重大資安事件損失之公司均有防火牆,也不要忘記恩隆公司有完整的內控內稽制度),企業文化及人很可能是資安作不好的真正原因,公司治理強調資訊揭露、風險管理、內控監察,在資訊監理與資訊安全方面一樣適用。我們是否有做好資訊安全管理,不但是客戶之期望也是股東之期望。

董事會及高階主管對公司重要的資訊系統與安全議題可能包括:
- 我們現有的資訊安全風險為何
- 我們制定之資訊安全標準程序及管理系統要做多少工作及投資才夠
- 資訊安全與提供供應商客戶資料使用之方便性如何取得平衡
- 資訊安全要委外還是自行處理
- 我們的資訊安全和防護以及因應方法是否有效

在《資訊安全治理》白皮書中說明,資訊安全管理是企業經營者的責任,不單純是資訊技術上的問題,資訊安全管理是企業內部管理制度也是企業風險管理的一環,同樣的會牽涉到企業文化,管理者安全認知及實際行動,資訊安全管理目的在降低公司經營的風險,自然也應該納入公司治理的範圍內。

管理階層該付諸行動

《資訊安全治理》白皮書中對於董事會應該作什麼事,有下列之建議:
1. 瞭解資訊安全議題
2. 設立指導資訊安全方向、策略、政策
3. 提供必要的資源
4. 責成各級主管投入資安改善計劃,監督成效
5. 設定建置資訊安全的優先順序
6. 取得內部稽核、外部會計師第三者資訊安全評估意見

高階經營主管應該作什麼事,有下列之建議:
1. 制訂資訊安全政策
2. 確保員工資訊安全責任、角色權限之清楚、明確
3. 辨認分析各種可能的威脅弱點及因應方法
4. 規劃資訊安全架構,包括標準、實務、程序及衡量
5. 建立監控方法以偵測改正安全事件,確保符合政策標準程序
6. 定期執行資訊安全測試及檢查
7. 提高員工對資訊安全的認知及責任
8. 確保資訊安全在導入系統發展過程中有充份的考量

尋求外援做好風險評估及稽核工作

一項可以很快告訴董事會及高階主管目前公司資訊安全風險的方法,即是執行資訊安全風險評估,或尋求外部第三者稽核意見。資訊安全顧問針對公司目前資訊安全技術及管理以客觀的立場提出診斷評估報告,可使董事會掌握現有的風險及改善計劃,並使公司增加信心,這是一項可行的做法。我們也看到內部稽核開始參與並執行重大系統導入專案相關的資訊安全要求及檢查,這些也都是正確的做法。

在公司治理中,稽核委員會(Audit Committee)以及獨立董監對公司經營管理之監控角色日趨重要,內部稽核對於資訊安全及相關之風險也要參與,特別是在91年底財政部及證期會發佈之公開發行公司建立客戶內控制度處理準則,也增加”資通安全檢查”一項,公開發行公司要聲明公司內控制度設計及執行之有效性,就這項要求而言當然包括資訊安全及控制,看來資訊安全與稽核將是國內監察人及董事會的重點工作。董事會、監察人內部稽核及經理人恐怕需要將資訊安全建置、風險評估、稽核等議題,好好的在董事會上討論一下了。

(本文作者為安侯建業會計師事務所資訊風險管理副總經理)