2024 CISO Insight 資安問卷調查

資安長堪稱是企業中最難扮演的角色。必須要在協助各部門順利達成業務推展的前提下，與時俱進規劃資安治理的框架及細節，確保一切安全合規，同時還得時時做好危機的應變處理。這份問卷由CIO Taiwan CISO資安學院與HITCON共同合作，試圖從資安長的角度出發，探查企業資安策略的現況及痛點，讓CISO能從中找到自己的座標。

為了感謝您的參與，主辦單位致贈500元7-11電子商品卡以聊表謝意。
問卷統計結果將在9月20日的CISO Day會議中揭曉，屆時歡迎您撥冗參加！

您的公司信箱 *

您的中文姓名 *

組織現況

2. 資安長是專責還是兼任？ *

專責
資訊長兼任
由其他職務主管兼任

3. 是否有專責的資安團隊？ *

4. 資安專責團隊的人數？ *

5. 資安兼職人數（代表該員工尚有非資安工作在身）？ *

6. 資安編制的人力缺口有幾人？ *

資安治理 (Governance)

7. 您多久會審查和更新資安政策？ *

每季度
每半年
每年
不定期

8. 組織內是否設有專門的資安治理委員會或類似機構？ *

是，並且運作良好（定期會議，執行決策）
是，但運作不理想（偶爾會議，部分決策）
否，但有計劃設立（有設立的具體時程）
否（無計劃）

9. 您使用哪一種資安治理的框架做為治理的原則參考？ *

NIST CSF 1.1(國家標準技術研究所網路安全框架)
NIST CSF 2.0(國家標準技術研究所網路安全框架) (2024/2, released)
ISO 27001 (國際標準化組織資訊安全管理系統)
COBIT (控制目標及資訊技術相關資訊)
CIS Controls (國際安全標準組織控制標準)
其他

10. 您如何系統性評估組織的整體資安風險？（最多3項） *

從組織進行演練與測試（如紅隊演練或滲透測試等）之結果
從組織進行合規性稽核（如GDPR、ISO 27001、NIST CSF、CIS Controls等）之結果
從組織資產進行識別與威脅分析之結果
從組織威脅偵測與防禦（SIEM 等）機制之結果
從組織資安成熟度之結果
從組織資安相關產品與服務之投資金額/高低
其他

11. 您如何向董事會證明資安治理的有效性？ *

資安自評

14. 組織多久進行一次資安自評？ *

每季度
每半年
每年
不定期

15. 已取得的資安認證，請列舉 *

16. 您如何具體評估資安團隊績效？（可由評估權重最高1到最低7進行勾選） *

	1	2	3	4	5	6	7
從定期攻防演練結果評估	1從定期攻防演練結果評估 1	2從定期攻防演練結果評估 2	3從定期攻防演練結果評估 3	4從定期攻防演練結果評估 4	5從定期攻防演練結果評估 5	6從定期攻防演練結果評估 6	7從定期攻防演練結果評估 7
從資安事件應變處理與後續措施	1從資安事件應變處理與後續措施 1	2從資安事件應變處理與後續措施 2	3從資安事件應變處理與後續措施 3	4從資安事件應變處理與後續措施 4	5從資安事件應變處理與後續措施 5	6從資安事件應變處理與後續措施 6	7從資安事件應變處理與後續措施 7
從攻擊出現到被藍隊檢測與採取行動的時間	1從攻擊出現到被藍隊檢測與採取行動的時間 1	2從攻擊出現到被藍隊檢測與採取行動的時間 2	3從攻擊出現到被藍隊檢測與採取行動的時間 3	4從攻擊出現到被藍隊檢測與採取行動的時間 4	5從攻擊出現到被藍隊檢測與採取行動的時間 5	6從攻擊出現到被藍隊檢測與採取行動的時間 6	7從攻擊出現到被藍隊檢測與採取行動的時間 7
從資安事件所恢復時間（MTTR, Mean Time to Recovery)	1從資安事件所恢復時間（MTTR, Mean Time to Recovery) 1	2從資安事件所恢復時間（MTTR, Mean Time to Recovery) 2	3從資安事件所恢復時間（MTTR, Mean Time to Recovery) 3	4從資安事件所恢復時間（MTTR, Mean Time to Recovery) 4	5從資安事件所恢復時間（MTTR, Mean Time to Recovery) 5	6從資安事件所恢復時間（MTTR, Mean Time to Recovery) 6	7從資安事件所恢復時間（MTTR, Mean Time to Recovery) 7
從因為資安事件造成的損失與相關成本	1從因為資安事件造成的損失與相關成本 1	2從因為資安事件造成的損失與相關成本 2	3從因為資安事件造成的損失與相關成本 3	4從因為資安事件造成的損失與相關成本 4	5從因為資安事件造成的損失與相關成本 5	6從因為資安事件造成的損失與相關成本 6	7從因為資安事件造成的損失與相關成本 7
從資安治理框架（如ISO 27001等) 中內外部稽核結果	1從資安治理框架（如ISO 27001等) 中內外部稽核結果 1	2從資安治理框架（如ISO 27001等) 中內外部稽核結果 2	3從資安治理框架（如ISO 27001等) 中內外部稽核結果 3	4從資安治理框架（如ISO 27001等) 中內外部稽核結果 4	5從資安治理框架（如ISO 27001等) 中內外部稽核結果 5	6從資安治理框架（如ISO 27001等) 中內外部稽核結果 6	7從資安治理框架（如ISO 27001等) 中內外部稽核結果 7
將各式資安防禦設備攻擊數據量化分析	1將各式資安防禦設備攻擊數據量化分析 1	2將各式資安防禦設備攻擊數據量化分析 2	3將各式資安防禦設備攻擊數據量化分析 3	4將各式資安防禦設備攻擊數據量化分析 4	5將各式資安防禦設備攻擊數據量化分析 5	6將各式資安防禦設備攻擊數據量化分析 6	7將各式資安防禦設備攻擊數據量化分析 7

承上題，除了以上的項目，是否另有其他可作為資安團隊評估績效的項目？

資安採購

17. 組織是否有針對供應鏈風險管理的具體策略和程序？ *

有，且已全面實施
有，但需要改進
正在制定
沒有

18. 是否對供應商和合作夥伴進行資安審查？ *

是，定期審查（每12個月或更頻繁）
是，但不定期（每12個月以上）
否，但計劃審查（有具體計劃）
否（無計劃）

19. 是否有制定標準的資安採購流程？ *

是，並嚴格執行（91%-100%）
是，但執行不嚴格（50%-90%）
否，但計劃制定（1%-49%）
否（0%）

CISO角色的挑戰

20. 作為資安長，您面臨的最大挑戰是什麼？ *

21. 您在執行資安策略時，遇到的主要困難是什麼？(最多3項) *

獲得高層管理支持
員工資安意識和培訓的推廣
資安技術和工具的選擇和實施
監控和回應資安事件的能力
缺乏資安相關人力
與業務主管資安風險的溝通不足
複雜性持續增長的資安威脅
預算不足

22. 法規遵循的挑戰？ *

公司業務範圍太廣，須遵循的規範多
法規太多太細
多重的規範遵循造成程序太複雜
業務涉及太多部門無法統整
業務專責主管對法規太不熟悉，無法預測風險
法規更版快速，來不及應對

23. 您認為哪項因素最能影響您作為資安長的成功？ *

組織文化和資安意識
資安團隊的專業技能和經驗
有效的資安策略和政策
資安技術和基礎設施的支持

24. 在資安長的角色中，您最希望獲得哪方面的支持？ *

更多的資安培訓和教育
更強的技術支持
高層的支持和資源
更有效的資安工具和技術

25. 您認為 CISO 可以如何強化自身應對資安挑戰的實力？(最多3項） *

參訪其他企業，與其資安團隊交流
參加資安長課程培訓
參加資安研討會
找解決方案廠商來公司介紹最新產品
參加資安長社群或聯誼組織
研讀資安規範與技術文件

資訊長(CIO)與資安長(CISO)之間的協同作業

26. 您認為CIO與CISO的角色適合各自獨立還是整合？ *

各自獨立
整合

27. 您與CIO在制定和實施資安策略方面的合作情況如何？ *

非常密切且合作順暢
較為密切但偶有分歧
基本合作但需要改進
很少合作

28. 您與CIO之間的溝通頻率如何？ *

每天
每週
每月
根據需要

29. 您認為提高CIO和CISO之間協同作業的最佳方法是什麼？ *

企業資安威脅現況

30. 在過去一年中，組織遭受哪種類型的資安威脅最多？ *

31. 組織在過去一年中每月平均遭受多少次資安事件？ *

0-1次
2-5次
6-10次
超過10次

資安預算

33. 您的組織在資安上的年度預算大約是多少？ *

34. 您認為目前的資安預算缺口大約是多少？ *

資安人力佈署現況及缺口

36. 您認為增加資安人員的最佳方法是什麼？ *

增加招聘和資源配置
加強現有員工的培訓
外包資安服務
內部調配其他部門人員

37. 您認為是什麼原因最直接導致了企業資安人才的短缺？ *

技能需求與供應之間的差距
企業內部資安人員薪資和福利缺乏競爭力
校園資安教育和培訓體系與業界需求差距大
資安技術變化太快
資安應變及攻防需有多年經驗，養成不易
職業發展範圍窄
其他

38. 您認為政府可以採取哪些措施來改善資安人才短缺的問題？ *

制定國家資安人才策略
資助資安教育和培訓計畫，為教育體系建立實戰環境
在法規上鬆綁國際人力
培養整合型的資安跨域人才，不只是技術
提升全民對資訊安全的認知及素養
其他

教育訓練

39. 您企業目前為員工提供哪些資安教育訓練？ *

41. 您認為可以採取哪些措施來提高資安教育訓練的效果？ *

採用更具互動性和吸引力的培訓方式
將資安教育訓練納入績效考核
鼓勵員工參加資安比賽和演練
所有上述

42. 您如何評估資安培訓和意識提升計劃的有效性？ *

對各項教育訓練作為，皆訂有預期改善目標，並定期進行評估並改進
將正確率、涵蓋率、反應時間等資安作為指標，對培訓成果進行評估
僅對出席率、通過率與證照數等指標進行評估
尚未進行評估

CISO想知道什麼？

43. 您最想知道的有關企業資安的問題是什麼？（最多選3項） *

如何提高資安人才的吸引力和留存率？
如何解決資安人才短缺的問題？
如何跟上不斷發展的資安威脅？
如何有效地利用資安技術？
如何提高資安意識和培訓？
如何制定有效的資安政策和程序？
如何應對資安事件？
如何確保資安合規性？
其他

44. 您最希望交流其他企業在資安管理上的哪些經驗？（最多2項） *

資安策略的制定與實施
資安事件的應變與處理
資安技術的應用與選擇
資安預算的爭取、分配與使用
雲端、AI等新技術的資安應對

45. 您最想知道其他企業如何應對下列哪種資安威脅？ *

網路攻擊
資料外洩
內部人員威脅
勒索軟體

其他

46. 在導入零信任架構過程中，遇到的主要挑戰是什麼？ *

資金和資源限制
技術實施困難
員工培訓和意識推廣
與現有系統的整合問題

47. 組織是否有利用國家提供的資安資源（如培訓、工具、資金等）？ *

有，並且定期利用
有，但偶爾利用
很少利用
從未利用

48. 您認為國家可以在哪些方面進一步支持企業的資安工作？（最多3項） *

提供更多資金支持
增加人才培訓和教育資源
提供先進的技術工具和平台
加強政策和法規的指導和落實
建置聯防的情報交換機制
提供危機處理的專業人力及服務
在國家的網通管理政策上針對外來惡意攻擊直接做必要之資安管制
其他

49. 貴公司是否參與了任何企業資安聯盟或合作計畫？ *

50. 在美國，資安事件處理不當時，資安長可能因面臨的法律風險和責任使其遭到起訴或咎責，請問您採取何種措施預防此風險與發生時該如何應對？ *

*針對這份問卷內容，您是否願意分享自己的經驗及想法？ *

資安解決方案應用現況

51. 您的組織是否已經部署或計劃部署瀏覽器隔離技術(RBI)來保護員工的網頁瀏覽活動？ *

已部署
計劃在未來部署
沒有計劃部署
不確定

53. 在您的組織中，是否有針對特權帳號的存取權限進行定期審查？ *

是
否
不確定

54. 您的組織是否有實施多因素驗證(MFA)來保護特權帳號？ *

是，所有特權帳號皆有實施
是，但只有部分特權帳號有實施
否，沒有實施多因素驗證
不確定

55. 您的組織是否已經實施網路微分割技術以提高網路安全性？ *

已實施
計劃在未來實施
沒有計劃實施
不確定

56. 在實施網路微分割技術後，您認為其對下列安全需求的改進效果如何？ *

	非常有效	有效	一般	無效	不確定
阻止內部橫向移動攻擊	非常有效阻止內部橫向移動攻擊非常有效	有效阻止內部橫向移動攻擊有效	一般阻止內部橫向移動攻擊一般	無效阻止內部橫向移動攻擊無效	不確定阻止內部橫向移動攻擊不確定
提升內部網路流量的可見性	非常有效提升內部網路流量的可見性非常有效	有效提升內部網路流量的可見性有效	一般提升內部網路流量的可見性一般	無效提升內部網路流量的可見性無效	不確定提升內部網路流量的可見性不確定
簡化合規性管理	非常有效簡化合規性管理非常有效	有效簡化合規性管理有效	一般簡化合規性管理一般	無效簡化合規性管理無效	不確定簡化合規性管理不確定

57. 您的組織是否使用Akamai的 CDN 服務來增強網站的安全性和性能？ *

是，已經使用
計劃在未來使用
沒有計劃使用
不確定

58. 在使用Akamai的CDN服務後，您認為其對以下安全需求的改進效果如何？ *

	非常有效	有效	一般	無效	不確定
防止DDoS攻擊	非常有效防止DDoS攻擊非常有效	有效防止DDoS攻擊有效	一般防止DDoS攻擊一般	無效防止DDoS攻擊無效	不確定防止DDoS攻擊不確定
改善網站應用防火牆(WAF)功能	非常有效改善網站應用防火牆(WAF)功能非常有效	有效改善網站應用防火牆(WAF)功能有效	一般改善網站應用防火牆(WAF)功能一般	無效改善網站應用防火牆(WAF)功能無效	不確定改善網站應用防火牆(WAF)功能不確定
提升資料傳輸的加密與保護	非常有效提升資料傳輸的加密與保護非常有效	有效提升資料傳輸的加密與保護有效	一般提升資料傳輸的加密與保護一般	無效提升資料傳輸的加密與保護無效	不確定提升資料傳輸的加密與保護不確定

59. 您的組織是否使用 IBM QRadar 或其他 SIEM 平台來進行安全信息和事件管理？ *

60. 在使用 IBM QRadar 或其他 SIEM 平台後，您認為其對以下安全需求的改進效果如何？ *

	非常有效	有效	一般	無效	不確定
實時威脅檢測和響應	非常有效實時威脅檢測和響應非常有效	有效實時威脅檢測和響應有效	一般實時威脅檢測和響應一般	無效實時威脅檢測和響應無效	不確定實時威脅檢測和響應不確定
簡化合規性報告和審計	非常有效簡化合規性報告和審計非常有效	有效簡化合規性報告和審計有效	一般簡化合規性報告和審計一般	無效簡化合規性報告和審計無效	不確定簡化合規性報告和審計不確定
提升網絡可見性和事件關聯分析	非常有效提升網絡可見性和事件關聯分析非常有效	有效提升網絡可見性和事件關聯分析有效	一般提升網絡可見性和事件關聯分析一般	無效提升網絡可見性和事件關聯分析無效	不確定提升網絡可見性和事件關聯分析不確定

2024 CISO Insight 資安問卷調查

為了感謝您的參與，主辦單位致贈500元7-11電子商品卡以聊表謝意。
問卷統計結果將在9月20日的CISO Day會議中揭曉，屆時歡迎您撥冗參加！

組織現況

資安治理 (Governance)

資安自評

資安採購

CISO角色的挑戰

資訊長(CIO)與資安長(CISO)之間的協同作業

企業資安威脅現況

資安預算

資安人力佈署現況及缺口

教育訓練

CISO想知道什麼？

其他

資安解決方案應用現況

數位及平面

關注社群

合作夥伴

關於我們

CIO Taiwan 歡迎你回來！

歡迎註冊 CIO Taiwan 網站會員

找回密碼

7/28 活動延期通知

【專訪】群光集團資訊長張玉雲

2020-21 CIO大調查報告PDF下載

自價值鏈視角看保險產業創新發展

威雲 Stratus 平台，確保關鍵應用持續安全運行

【台灣資安業者巡禮】雲想科技電子簽名環台醫療同意書雲啟用

高市小港醫院推轉型大幅提升醫療品質

文章分類

熱門標籤

活動

影音

2024 CISO Insight 資安問卷調查

為了感謝您的參與，主辦單位致贈500元7-11電子商品卡以聊表謝意。問卷統計結果將在9月20日的CISO Day會議中揭曉，屆時歡迎您撥冗參加！

組織現況

資安治理 (Governance)

資安自評

資安採購

CISO角色的挑戰

資訊長(CIO)與資安長(CISO)之間的協同作業

企業資安威脅現況

資安預算

資安人力佈署現況及缺口

教育訓練

CISO想知道什麼？

其他

資安解決方案應用現況

數位及平面

關注社群

合作夥伴

關於我們

CIO Taiwan 歡迎你回來！

歡迎註冊 CIO Taiwan 網站會員

找回密碼

7/28 活動延期通知

您已閒置超過 3 分鐘了，為您推薦其他文章！點擊空白處、ESC 鍵或關閉回到網頁

【專訪】群光集團資訊長張玉雲

2020-21 CIO大調查報告PDF下載

自價值鏈視角看保險產業創新發展

威雲 Stratus 平台，確保關鍵應用持續安全運行

【台灣資安業者巡禮】雲想科技電子簽名 環台醫療同意書雲啟用

高市小港醫院推轉型 大幅提升醫療品質

文章分類

熱門標籤

活動

影音

為了感謝您的參與，主辦單位致贈500元7-11電子商品卡以聊表謝意。
問卷統計結果將在9月20日的CISO Day會議中揭曉，屆時歡迎您撥冗參加！

【台灣資安業者巡禮】雲想科技電子簽名環台醫療同意書雲啟用

高市小港醫院推轉型大幅提升醫療品質