合勤投資控股資安長游政卿在閱讀本刊大師講堂屠震博士的大作後,對原文觀點深表認同,除了感謝屠震博士的分享,也提出其延伸觀察與實務補充。
文/游政卿(合勤投資控股資安長)
近期閱讀屠震博士撰寫的〈快速啟動運行,進行風險評估〉一文,內容以新任資安主管在入職初期的 90 天為主軸,提出許多實用且具有架構性的建議。對於需要快速熟悉企業環境、建立資安盤點與策略推動基礎的資安工作者而言,確實具備高度參考價值。
文章中提到的外部資安態勢評估、KPI 指標設定、引導式風險評估(Facilitated Risk Analysis Process,FRAP)等具體作法,對實務操作十分有幫助。不過,從企業端實際導入與策略落實的角度來看,筆者認為有以下面向可進一步強化:
一、資安管理架構與職責分工宜更明確
新任資安主管除了掌握技術細節與風險現況,也應同步釐清組織內部的資安治理架構。例如,資安委員會的運作方式是否明確?各部門(如業務、人資、法務、財務)是否有指定的資安窗口與清楚的職責分工?建議可運用 RACI 責任分工表等工具,協助明確各單位的角色與參與程度,進而提升跨部門溝通效率,加速政策落實與決策推動。
[ 推薦閱讀:落實 RACI 概念 有助減少營運風險 ]
二、工具導入應從「掃描」升級為「風險面控管」
文章中提到,可透過第三方資安評等或漏洞掃描工具作為入門手段,這確實是實務上常見且有效的做法。不過建議可進一步思考,與其僅著重於「被動發現問題」,更應朝向「主動掌握風險暴露面」的方向邁進。參考「持續威脅暴露管理(Continuous Threat Exposure Management,CTEM)」的架構思維,導入資產可視化、攻擊模擬(如 BAS,Breach and Attack Simulation)、修補優先順序調整等機制,逐步建立一套具備持續監控、快速反應與動態調整能力的資安管理模式。
三、KPI 指標應涵蓋風險掌握與資源效益
目前多數資安績效指標仍著重在作業執行層面,例如漏洞修補時效、防毒軟體覆蓋率等,雖具參考價值,但相對不足以回應管理階層對「風險控制成效」與「資安投資效益」的關注。建議可同步納入以下類型的指標,補足策略與營運面的需求:
- 高風險資產占比的變化趨勢。
- 資安事件平均偵測與回應時間(MTTD/MTTR)。
- 資安資源投入與營運成果之間的關聯性(例如安全投資報酬率)。
透過這類指標,有助於讓資安策略與企業整體績效更緊密連動,強化資安作為業務支持力量的定位。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 IG,與全球CIO同步獲取精華見解 ]
四、人際協作層面應納入跨部門合作關係
與 IT 團隊建立合作關係是基本功,但許多資安相關的作業實際上分散在其他部門,例如人資負責帳號異動、法務處理合約條款、採購管理供應商等。建議新任主管上任後一個月內,應主動安排與這些部門溝通,掌握現行流程與制度運作狀況,避免資安作業淪為只針對技術、不觸及管理流程的片段式強化。
五、FRAP 建議導入視覺化與流程標準化工具
FRAP 是一種強調跨部門參與與情境導向的風險評估方法,但在實際執行時,若缺乏工具輔助,往往容易流於冗長且缺乏系統性。建議可搭配攻擊圖譜、資安風險儀表板等視覺化工具,協助將討論成果即時彙整,並與資產風險等級進行有效整合。同時,也應建立一套標準化的評估流程,使 FRAP 不只是一次性的會議討論,而是能產出具體結論並支撐後續決策的制度化機制。
[延伸閱讀:合勤投資控股資安長游政卿 ]
總體而言,這篇文章提出許多值得借鏡的實務作法與思考方向,也再次提醒我們,資安的核心不只是「修補漏洞」或「部署工具」,更關鍵的是在組織脈絡下,建構一套可長期運作、持續優化的資安管理機制。若能進一步結合實務經驗與各單位實際需求,將能更有系統地提升企業整體的資安韌性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
