黃彥棻攝
在2025年,群創光電悄悄完成一項組織變革,對於群創光電、對於臺灣製造業的資安史上,這是一個值得記錄的里程碑。群創光電的資通安全部正式從MIS(資訊系統)部門獨立出來,直屬執行長辦公室,並設立資安長(CISO)一職,邀請學者型高階主管林宜隆擔綱。
這個組織圖上的移動,看似只是幾條線的重新連接,卻牽動一整套思維方式的根本翻轉——資訊安全,不再只是IT部門底下一個防堵漏洞的執行單位,而是公司戰略決策的核心機制。
群創光電資通安全部資深副理蔡秉諺分享這段轉型的心路歷程,他坦言:「當老闆問你,你做這件事情的價值在哪裡?」這是所有資安人最難回答的一題。
從MIS底下的一個人,到執行長直屬的獨立部門
群創光電成立於2003年,是全球主要的TFT-LCD液晶面板製造商,全球員工約三萬五千人,在臺灣、中國大陸、日本、韓國、美國、荷蘭、德國、新加坡均設有據點,2025年營業額高達兩千兩百六十七億新臺幣。這樣規模的製造業集團,其資安部門如何走到今天這個位置?
蔡秉諺回顧說,群創最早的資安工作其實寄居在MIS部門,只有一名資安專職人員。2021年,公司才開始正式招聘更多資安人才。隨著「上市公司應成立專屬資安部門」的法規精神逐漸落地,群創光電也依循趨勢成立了資通安全部,但當時仍掛在MIS底下,定位上更接近IT資安的執行層。
這樣的架構,藏著一個根本性的矛盾。「我一方面自己導入控制措施,另一方面又自己來評鑑控制措施的有效性,」蔡秉諺坦言,「這樣很難達到平衡。就像讓選手兼任裁判,球賽結果能客觀嗎?」
直到2025年,執行長主動介入,將資安部門從組織圖上「拉出來」,掛在執行長辦公室之下,並設立資安室與資安長(CISO)職位。從此,資安長與總經理並列,對執行長直接負責。
他表示,這個資安組織架構的改變,也呼應了國際標準ISO 27014對「資安治理」的定義——治理層必須具備評估、指導、溝通的獨立性,不能被執行層吸納。
把資安分成三個層次,先搞清楚自己在哪一層
蔡秉諺從國際標準和實務經驗,分享一個簡潔有力的框架,就是將資安工作分為三個層次:資安技術、資安管理、資安治理。
最底層的「資安技術」,對應的角色是資安工程師,回答的是「What to do」——導入EDR端點偵測防護、SIEM安全資訊與事件管理、PAM特權帳號管理、弱點掃描、攻防演練,這些都是實際動手做的技術控制措施。
中間層的「資安管理」,對應的角色是資安主管,回答的是「How to do」——看各項控制措施的部署率、更新率、達成率,執行業務衝擊分析(BIA),訂定最大容許停機時間(MTD)、復原時間目標(RTO)與復原點目標(RPO),確保整體體系依照標準運轉。
最頂層的「資安治理」,對應的角色是資安長,回答的是「Why to do」——創造組織價值,將資安韌性轉化為營運韌性,讓資安投資能夠被量化,使公司決策層看得見資安的貢獻。
蔡秉諺特別強調,這三個層次並非互相獨立,而是由上往下驅動的,關鍵在於:「導入的各種控制措施,一定要對齊公司的願景與目標。」所以,不能為了做資安而做資安。
他也假設性地提問:「如果公司今天買了一千臺EDR授權,但老闆問你,買五百臺不行嗎?」如果資安長無法回答,就表示這件事並沒有對齊公司的治理方向。
合理量化資安價值,不再將資安視為成本中心
資安部門長年被視為「成本中心」,是花錢的單位,而非賺錢的引擎。蔡秉諺認為,這個困境的根源,在於資安人員未能將自身工作的價值語言,轉譯成經營者聽得懂的語言。
「老闆只跟你談錢,」他說得直白,「對老闆而言,資安價值最直覺的量化方式就是財務數字。」所以,他將資安的價值呈現歸納為四個維度:提升獲利、降低成本、合規韌性、營運持續。
對於製造業而言,「提升獲利」這道題確實很難直接作答,畢竟群創光電不是資安公司;「降低成本」也不容易被具體感知;但「合規」與「營運持續」,則是製造業資安人員最能發力、也最能量化的兩個戰場。
蔡秉諺也舉出多個例子,說明如何把抽象的防護能力轉換為可量測的指標。
案例一,A公司的SIEM平臺導入案例,主打「技術維度:平均偵測時間(MTTD)」。在沒有SIEM平臺之前,資安人員要找出全公司一天內密碼錯誤超過一百次的帳號,必須手動撈取大量Log(登錄檔),至少要花掉整整四個小時;但導入SIEM平臺之後,同樣的查詢只要十秒鐘就能完成,並且能同時一覽多個高風險帳號的即時狀態。
蔡秉諺表示,這個SIEM平臺量化價值一目了然:一年三百萬元的SIEM訂閱費,換來的是平均偵測時間從四小時壓縮到十秒,人工分析成本下降八成。
案例二,B公司的合規通過率案例,主打「管理維度」。蔡秉諺表示,一名資安人員獨力完成十家客戶的資安稽核,通過率達到百分之百。
關鍵不在於這個數字有多漂亮,他表示,在於如何讓老闆「有感」:這十家客戶,合計占公司整體營收的六成。「一個人卻守住了公司六成的生意,」蔡秉諺認為,這樣的呈現方式,董事會才會真正理解資安投資的意義。
案例三,C公司與D公司的「年度損失期望值(ALE)」案例,主打「財務維度」。C公司有一批老舊工廠設備,無法安裝防毒軟體,過去每年中毒一次,每次損失兩百萬元產值;解決方案是導入一套十萬元的防火牆,作為補償性控制措施,以十萬元防住兩百萬的潛在損失。
D公司則是電商平臺,每年遭受三次DDoS攻擊,每次停機兩小時,一年累計損失六百萬元營業額;解決方案則是:訂閱一年三百萬的DDoS防護服務,即可守住六百萬的收入。
蔡秉諺總結從上述的案例後歸納的重點:資安投資的邏輯,不是計算公司花了多少錢;而是在這樣的投資之後,能夠幫助公司減少多少損失。「只要把這個對價關係算清楚,老闆就會理解資安投資對公司帶來的效益。」他說。
合規不是為了應付稽核,而是在訓練韌性
談到合規,蔡秉諺也提到目前多數企業面對稽核時,所看到的普遍現象,那就是:「下禮拜要稽核了,所以這禮拜趕快補資料、補簽名、補報到率。」他稱之為「應付稽核心態」。這樣的心態也與他對企業資安認同的「韌性與營運持續」觀點,完全背道而馳。
他舉了一個讓人心有戚戚的例子,某公司電腦中毒,事後檢查,防毒軟體確實有安裝,但「病毒碼」已經半年沒有更新了。回頭查詢稽核時的記錄是「有裝防毒」,但現實情況則是,防毒軟體的安裝形同虛設。他說:「控制措施早就已經失效,只是沒有人知道。」
蔡秉諺表示,ISO 27008是專門針對「控制措施有效性」的評鑑,也就是說,ISO 27008它是ISO 27002(控制措施具體指南)的「檢驗器」,這正是ISO 27008這個標準存在的意義。
他進一步解釋,若以ISO 27002這個資安標準為例,該標準要求企業做到「應定期備份」,ISO 27001的稽核員只要看到你有定期備份的紀錄,可能就放行了;但若參考ISO 27008對此的要求,則是必須做到「還原測試」——那個備份檔案,是否真的做過資料還原嗎?而還原後的備份資料,還能用嗎?
對此,蔡秉諺表示,合規的目的是「韌性」;韌性的目的是「營運持續」。這也意味著,企業做稽核的目的,不應該只是為了通過稽核,而應該是為了確保公司真的準備好應對突發狀況。
這個思維的轉換,也是蔡秉諺認為,臺灣企業資安文化最需要補上的一課。
資安標準ISO 27000系列,是前人事先幫忙整理好的智慧
資安標準ISO 27000系列幾乎是臺灣最普遍的資安標準,但蔡秉諺也強調,不是每一個標準都要去取得驗證,它們是參考指引,是全世界專家學者共同擬定的最佳實踐,你照著做就不會差太多,不用自己摸索。因為,資安國際標準不是用來硬背應付的考卷,而是全球專家幫你寫好的資安大補帖。
他同時梳理了一條清晰的導入順序。首先,參考ISO 27014處理「資安治理」問題,解答的是公司為什麼要做資安、如何讓資安對齊組織策略。
其次,ISO 27005處理「資訊安全風險管理」議題,搭配ISO 22301的營運持續管理(BCM),讓企業能夠:識別風險、量化風險,導出營運衝擊分析(Business Impact Analysis,BIA)、最大可容忍中斷時間(Maximum Tolerable Downtime,MTD)、多久要恢復的復原時間目標(Recovery Time Objective,RTO),以及最多可遺失多少資料的復原點目標(Recovery Point Objective,RPO)等關鍵參數。
接著是參考ISO 27002,根據其提供具體的資訊安全控制措施,告訴企業「具體怎麼做」——蔡秉諺表示,這份文件多達152頁,是實作層面的核心指南。
至於ISO 27003則是ISMS的實施指南,目的就是解決企業「空有控制項,卻沒有流程」的痛點,更像一位導航員,帶著你一步步從組織環境分析,走向風險處理計畫。
而ISO 27008則是用來評鑑控制措施的有效性,是整個體系的「品質管控器」;最後,ISO 27001才是那個拿來驗證的標準,確認你的資訊安全管理體系是否符合要求。
「從群創光電的自身經驗來看,合理且正確的做法是:先導入ISO 27002的控制措施,再取得並通過ISO 27001的驗證。」蔡秉諺認為,因為你無法驗證一個不存在的控制措施,當稽核員來企業驗證時,就必須要有東西讓他查。
蔡秉諺表示,這個「先建立,再驗證」的邏輯,放在臺灣企業界的資安實務中,其實糾正了不少人長期以來本末倒置的慣性思維——因為許多臺灣企業直接衝向27001認證,拿到證書後才發現,許多資安控制措施根本沒有真正落地。
釐清資安長與資訊長的差異,達到資安韌性即營運韌性的願景
組織架構調整之後,一個隨之而來的問題浮現:既然已經有資訊長(CIO),為什麼還需要資安長(CISO)?這兩個角色之間的界線與張力,是許多正在思考資安組織定位的企業共同面對的課題。
蔡秉諺表示,資訊長管的是資訊系統的運作效率,資安長管的是公司整體的風險視角——不只是IT安全,還包括OT(工控系統)安全、營業秘密保護、供應鏈安全,乃至地緣政治風險。
所以,資安長的職責,是在公司的每一個決策流程融入安全的思維,而這個任務,從定義上,就不應該被資訊長的職責所涵蓋。
「資安其實是一個潤滑劑,」蔡秉諺以公司推動資安的經驗為例,資安在群創光電的各個業務流程當中,是幫助大家融入安全的作業流程,並協助公司持續運作。「我不是那個踩煞車的人,我是讓齒輪轉得更穩的人。」蔡秉諺說道。
伴隨著組織升級,群創光電也重新制定資安的策略願景:以安全信賴、韌性防禦、AI創新驅動、供應鏈資安作為四大支柱,並建立具有國際化、安全信賴標準的供應商形象,支持公司「More than Panel」的多元化轉型方向。
這個願景的落地,分為三個層次。蔡秉諺表示,在公司的資安與IT治理(Governance)方面,為了協助企業「由上而下」建立決策與監督機制,確保資安與數據資產與商業目標對齊,該公司正在推動涵蓋ISO 27014(資訊安全治理)、ISO 38500(企業IT治理)、ISO 38505(數據治理)的標準化資安治理。
為了協助公司達到持續性營運機制(Business Continuity,BCM),在企業面臨重大災害、駭客攻擊或大停電等中斷事件時,可以做到維持關鍵業務「不斷線」的韌性,則推動包括:ISO 22301(營運持續管理系統要求)、ISO 22313(營運持續管理指引)、ISO 22318(供應鏈持續性指引)的持續性營運機制。
當企業資安防線被突破時,為了確保企業可以做到快速通報、止血,並以科學、合規的方法保存證據以利後續追查,便積極推動資安事件通報與鑑識流程(Incident & Forensics),參考包括:ISO 27035(資訊安全事件管理)、ISO 27037(數位證據保全指引)、ISO 27050(電子證據開示 / eDiscovery)的資安事件通報流程。
在網路時代,供應商往往成為駭客借道攻擊的跳板,而群創光電本身也面臨許多供應商要落實資安管理,為了確保供應鏈資安(Supply Chain Security),做到涵蓋內部與外包商的全面防護網,採用ISO 28000(供應鏈安全管理系統)、ISO 27001(資訊安全管理系統)、ISO 27036(供應商關係資安指引)的供應鏈資安。
此外,為了更有效率的因應當前爆發式的AI應用,確保AI模型在安全、公平、不洩密的前提下為企業所用,則開始參考ISO 42001(人工智慧管理系統)、ISO 42005(AI系統影響評估指引)、ISO 23894(AI風險管理指南),和ISO TR 24028(AI可信賴性概覽),做到AI應用與安全管理(AI Security)。
「面對這麼多的ISO標準,並不是全部都要去考證照,或取得認證。」蔡秉諺再次強調,「重點在於,要把它們作為公司內部推動的行動指引。參考這些國際標準來做,就不會差太多,也不用每件事都自己從零摸索。」
在技術執行層面,則是依照國家的資安主管機關資通安全署的指引,制定群創光電內部的《資通安全維護計畫》,同時把ISO的高層次原則,翻譯成第一線人員可以操作的檢測項目與頻率,例如:哪些系統要做主機弱點掃描、多久做一次、防火牆規則稽核的週期為何,都要寫得清清楚楚。
蔡秉諺說,這個《資通安全維護計畫》解決了ISMS程序書過於原則性的問題,像是:程序書寫著「應定期做檢測」,但多久做、做什麼,沒有人知道。他表示,有了《資通安全維護計畫》之後,就可以填補這個說明與執行實務的落差,可以讓第一線人員照著做就好。
資安是公司的風險語言,不是IT的技術術語
蔡秉諺清楚地表示,所有的風險都不可能降低為零;即使把風險降到零,也會因此投入超過預期的成本。所以,「風險管理的目的,是把風險降低到營運管理階層可以接受的程度,讓公司能夠持續運作。這才是資安存在的意義。」他說。
他也強調,資源永遠有限,資安從業人員都必須學會做選擇,例如,如果你有合作的供應鏈有五百家廠商,根本不可能全部納入完善管理。那麼,應該怎麼做呢?
他坦言,唯有先做到分級、分類,找出對公司影響最大的前五十家供應商,集中資源保護它們也就是保護群創光電。「真正做到把資源花在刀口上,才是資安治理的精神。」他說。
群創光電的資安進化史,從早期「有裝防毒」到確認「韌性有效」;從「應付稽核」到「真正落地」;從「MIS底下的資安人員」到「執行長直屬的資安長」,蔡秉諺表示,這樣的過程其實也是許多臺灣高科技製造業在數位轉型浪潮中的縮影,最終都必須面對的一道共同命題則是:資安,究竟是公司的負擔,還是公司的護城河?
對蔡秉諺而言,群創光電的資安轉型,就是最好的答案。
.jpg)
