觀點投書：資安不是成本，而是企業永續韌性的核心引擎

近年來，台灣企業接連面對重大資安事件：YouBike會員資料外洩，引發社會對個人隱私的高度關注；中華民國財政部電子發票平台漏洞造成民眾恐慌；全家便利商店APP大規模當機，影響全台消費與服務運作。這些事件表面上為技術故障，實際上多反映企業治理結構、內部控制與風險管理能力之不足。真正威脅企業的，不只是駭客，而是管理層仍將資安視為資訊部門之例行工作，甚至僅視為被動配合法規的成本項目。然而，在數位經濟時代，資安已不僅是IT議題，而是董事會與管理層必須親自面對之治理課題。它關係的不僅是系統是否正常運作，更直接影響企業聲譽、法律責任、客戶信任與永續發展。企業若仍停留在「出事後再補救」的思維，最終付出的代價，往往遠高於預防所需的投入。

許多企業投入大量資金購買防火牆、端點防護與監控設備，但重大事件仍層出不窮。問題並非設備不足，而是缺乏系統化治理架構。如果沒有明確的責任分工、制度設計、風險評估與持續監督，再先進的技術，也只能形成零散的工具堆疊。邱強（2019）於《零錯誤》中提出之觀點指出，若未導入制度化的優良規範與標準，可能導致無作為或失策等知識型錯誤所帶來的損失。因此，企業需要的不是更多設備，而是一套能夠整合監理要求、內部控制、風險管理與組織文化的治理系統。

為協助企業將法規要求轉化為可執行的管理行動，本文提出「法遵導向資通安全風險管理體系」（如圖一）。

這套體系的核心理念是：以法令遵循為基礎，結合風險管理與PDCA（計畫、執行、檢查、行動）持續改善循環，使資安治理成為可不斷優化的管理制度。體系共建構31項概念化控制措施，依資安風管功能可分為治理、評估、回應與監督四大流程，並對應八大管理構面（如圖1所示），八大構面涵蓋如下：

1.資通安全政策與推動組織

2.核心業務及重要性分析

3.系統盤點與風險評估

4.資通安全防護及控制措施

5.資通系統發展及維護安全

6.資通系統或服務委外辦理之管理措施

7.資通安全事件通報應變及情資評估因應

8.資通安全之持續精進及績效管理機制

其中不僅納入帳號權限管理、加密保護、弱點掃描與滲透測試等技術控制，也強化個資盤點、異常存取監控、委外契約管理與演練制度等治理措施。這31項措施可視為企業資安治理的標準化作業藍圖。這套架構的目的，不是讓企業「形式上合規」，而是透過制度化管理，將有限資源投入在真正重要的風險控制上。

企業僅有控制措施並不足以保證有效執行。因此，本文進一步提出「法遵導向資通安全風險管理與內控制度生態系統圖」（如圖二），作為企業資安治理的整體藍圖。

這套生態系統的核心精神，在於將看似分散的制度與角色整合為一個能夠持續自我調整、自我強化的治理機制，勾勒出全面且動態的資安治理模式，也將法遵要求深度融入組織的運行邏輯中。其運作由以下四個關鍵層面交互作用而成：

資安治理的起點在於組織的「控制環境」。生態系統強調董事會及高階管理層對於資安治理負有終極責任，必須由上而下確立企業的風險偏好、核准資安策略與資源配置，並奠定組織的道德文化，並定期檢視重大風險與改善成果。唯有由上而下推動，資安才能真正成為企業戰略的一部分。若缺乏高層的實質授權，資安防禦將難以獲得必要的資源支援。

生態系統由「內外雙循環」交互融合運作：外圈為資安風險管理架構，包含風險治理、辨識、衡量、回應與監控的完整流程；內圈則透過 PDCA 管理循環（Plan–Do–Check–Action）持續檢討與改善。兩者相互結合，使資安治理具備動態調整與持續進化的能力。這種「互為表裡」的設計，確保企業能精準識別風險並將其實施成果轉化為持續改善的動力。

為達成營運效能與法規遵循的目標，生態系統依據國際內部稽核協會（The Institute of Internal Auditors）公布的最新治理觀念「三道角色模型」（Three Lines Model），強調企業應強化以下三類角色的分工、資訊分享與有效協調：

第一道角色（營運管理單位）：作為「風險擁有者」，負責日常控制執行以及第一線作業的自主查核與自行評估，落實體系中的 31 項防護措施。

第二道角色（資安、法遵與風險管理單位）：作為「風險管理者」，主導資安政策規劃、提供專業指導，並監督第一道角色的執行情形。

第三道角色（內部稽核單位）：作為「風險確認者」，保持查核獨立性並直接向董事會報告，對第一、二道角色之設計與執行有效性進行客觀查核，透過知識與資訊共享機制，三道角色共同交織成完整的企業防禦網。​

─責任與績效考核及獎懲： 明確界定責任，將資安指標（KPI）納入公正透明的績效考評與獎懲機制，激勵團隊積極性。

─權利與決策及權限： 清晰賦予資安長（CISO）足夠的權力，建立迅速有效的決策與緊急應變流程。

─激勵貢獻與利益分配： 鼓勵同仁主動發現漏洞或提出創新防護方案，並給予合理激勵，凝聚全員守護資安的向心力。

生態系統的最底層是「經營哲學與企業文化」，制度能否落實，關鍵在於文化，這是確保系統持續運行的基石。當資安意識成為組織共同價值，必須配套以下三大組織管理機制，透過責任與績效考核及獎懲、權利與決策權限，以及激勵貢獻與利益分配等機制加以支持，制度才會真正「活起來」。

以上三大組織管理機制與企業文化之結合，使資安不再只是冰冷的設備與資訊系統堆疊，而是轉化為可持續運作之組織能力，協助企業從被動的「法遵合規」邁向主動的「經營韌性」（即組織在面對衝擊時之吸收、調適與快速復原之動態能力）。

許多企業誤以為資安是資訊部門的責任，但真正成熟的企業，會將資安納入經營管理的核心。例如：

─將資安指標納入各部門績效考核。

─賦予資安長充分的決策與應變權限。

─對發現漏洞與提出改善方案的員工提供獎勵。

─定期進行跨部門演練與董事會報告。 ​

如此一來，資安不再是少數專業人員的工作，而成為全體員工共同維護的企業能力。

法令遵循是最低標準，但真正具競爭力的企業，不會滿足於「不違法」。它們追求的是在面對攻擊、故障與危機時，仍能快速回應、維持營運並恢復正常的能力，也就是「韌性」。

法遵提供底線，內控建立紀律，風險管理協助決策，而組織文化則讓制度持續運作。當這些元素形成有機連結，企業便能建立一套生生不息的治理生態系統。

在人工智慧、供應鏈攻擊與個資風險日益加劇的今天，資安已成為企業最重要的永續治理課題之一。本文提出之「法遵導向資通安全風險管理體系」提供企業可操作之31項控制措施，並結合組織文化與管理機制。另「法遵導向資通安全風險管理與內控制度生態系統圖」則作為治理整體藍圖，整合董事會治理、風險管理、內部控制與企業文化。兩者共同協助企業建立持續自我優化之治理系統。法遵提供底線，內控建立紀律，風險管理則協助決策。企業唯有將資安治理植入組織的 DNA，從「法遵合規」邁向「韌性經營」，才能在充滿變數的數位經濟中，建立最堅實的競爭壁壘 。 （相關報導： 人人都可以是駭客？面對犯罪工具普及後的「能力民主化」　資安防護要怎麼對應演化 ｜ 更多文章 ）

參考文獻：陳天意（2025）。《法遵導向資通安全風險管理與內部控制生態系統之建構：以文獻與法規分析為基礎》。2025穩懋當代會計論文獎研討會。

＊作者為國立中正大學企業管理學系博士研究生。