Post by Liao Yu Ming
CIO/CISO | 資安治理與IT策略專家 | 22+年跨國企業數位轉型與資安治理經驗
CISO 的下一堂必修課:讀懂法規,而不是只等法務翻譯 作者:廖毓銘(Joy Liao)|CIO/CISO 「這條法規到底要我們做什麼?」 這句話,我在過去幾年的資安治理工作中,聽過無數次——通常是資安團隊拿到一份法務轉來的法規摘要,滿頭問號地在會議室裡討論。而更常見的情況是:法務團隊把法條翻成白話文給資安團隊,資安團隊再把白話文翻成技術控制措施,中間經過兩次轉譯,往往已經失真。 這幾年台灣資安法制化的速度明顯加快——《資通安全管理法》修法、個資法修正草案、關鍵基礎設施業者的法遵要求逐步升高。這個趨勢下,我越來越確信一件事:CISO 如果只懂技術、不具備直接讀懂法規的能力,會在治理鏈的中間環節,持續產生落差。 兩次轉譯,兩次失真 法規到技術控制措施之間,傳統的流程通常是這樣: 法規條文 → 法務翻譯成白話文 → 資安團隊翻譯成技術控制措施 每一次轉譯,都會遺失一部分原意。法務團隊擅長判斷法律風險,但未必清楚哪個技術控制措施能真正對應法條要求;資安團隊擅長技術落地,但拿到的常常是被簡化過的白話文,容易做出「形式上合規、實質上沒對應到位」的控制措施。 我自己在推動 GDPR 合規框架、資安治理制度落地的經驗中,最常遇到的落差就出在這裡——法規要求的是「個資的可歸責性與可追溯性」,但如果沒有人在中間把這句話翻譯成具體的技術語言(例如:存取紀錄留存多久、誰能存取、如何稽核),最後往往只做出一份「看起來合規」的文件,而不是真正能通過稽核檢驗的技術控制。 為什麼這件事會越來越重要 台灣資安法規的走向,正在從「原則性規範」逐漸走向「具體技術要求」。這代表: 法規對技術控制措施的要求會越來越明確,模糊地帶會越來越少 監管單位的稽核會越來越深入到技術層面,不再只看文件是否齊全 企業一旦違規,面對的不只是罰款,還有更高的訴訟與商譽風險 在這樣的趨勢下,CISO 若還停留在「等法務告訴我該做什麼」的角色,會逐漸跟不上治理節奏。反過來說,如果 CISO 具備直接解讀法規的能力,能在第一時間判斷「這條法規對我們的技術架構會產生什麼具體影響」,就能在治理鏈中省掉一次轉譯,也能更早提出應對方案,而不是等法規上路後才手忙腳亂補救。 CISO 該具備的,不是法律專業,而是「法規轉譯能力」 我必須強調一點:這不代表 CISO 要變成法律專家,取代法務團隊的角色。真正需要補強的,是一種居中轉譯的能力——能看懂法條在講什麼商業風險與技術要求,然後直接用治理語言與技術語言跟法務、跟工程團隊對話,讓兩邊的溝通不再需要透過反覆的文件往返。 這也是我這幾年重回校園、選擇攻讀科技法律(資安法制組)的原因。不是想轉行做法務,而是希望能補齊這塊長期被資安圈忽略的能力——法規、技術、商業,三個語言都能講,才能真正把治理做到位,而不是把合規做成一份應付稽核的文件。 給資安主管的一個自我檢核 如果你也是資安主管,不妨自問: 當公司法務轉來一份新法規的摘要時,我能不能自己判斷這對現有技術架構會產生什麼具體影響?還是完全依賴法務的解讀? 我們公司的合規文件,是「真的對應到位的技術控制」,還是「看起來符合但經不起深入稽核的形式文件」? 面對即將上路的新法規,我是被動等通知,還是主動追蹤修法動態、提前規劃因應? 如果這幾個問題的答案讓你有點不安,也許代表是時候,把「讀懂法規」這件事,正式納入自己的專業能力清單裡了。 結語 資安治理正在從單純的技術職能,演變成一門需要橫跨技術、法律、商業三個維度的綜合治理工作。CISO 若能主動補齊法規解讀的能力,不僅能減少治理鏈中的轉譯落差,更能在企業面對日益嚴格的資安法制化浪潮中,成為真正能提前佈局、而非被動應對的角色。 這條路我自己還在走——邊實務邊進修,邊做邊學。但我相信,這正是資安治理下一個階段最值得投資的能力。 廖毓銘,現任 CIO/CISO,具備 CISSP、CISM、PMP、ISO 27001/27701 主導稽核員等專業認證,現於東吳大學攻讀科技法律所(資安組)。歡迎透過 LinkedIn 交流資安治理與法遵議題。