组织内的网络安全，到底应该由谁负责？

在不少企业里，网络安全其实是一个大家都知道重要，但没有人真正说得清楚谁负责的议题。平时看起来好像运作正常，一旦真的出事，才发现责任分工其实很模糊。

有人怪 IT，有人怪员工，有人怪流程。但问题通常不是单一角色失误，而是一开始就没有把责任讲清楚。

最常见的误解：网络安全就是 IT 的事

很多公司理所当然地认为，只要有 IT 部门，安全就有人管。他们设定防火牆、管理帐号权限、处理系统更新，看起来也确实很安全。

但现在的攻击，很少只发生在技术层面。

钓鱼邮件是针对人，不是系统。云端设定出错，往往是为了赶专案进度。部门私下用 SaaS 工具，是因为流程太慢。等 IT 发现时，风险其实早就存在。

IT 能处理技术控制，但无法为每一个业务决策承担后果。

资安团队往往只有责任，没有决定权

有些组织设有资安团队，负责风险评估、政策制定、安全审查。他们通常很早就看到问题，也愿意提出警告。

但很多时候，他们说了不算。

资安可以建议不要对外开放某个系统，但产品还是可能照常上线。资安建议全面启用多因素验证，但业务单位嫌麻烦，最后不了了之。

责任在资安，决定权却不在资安，这样的结构本身就很危险。

管理层的选择，往往才是真正的风险来源

高层不会写程式，也不会设定防火牆，但他们的决策直接影响整体风险。

为了赶市场而跳过安全审查，为了节省成本而缩减监控预算，为了营收而接受已知风险，这些看起来是商业决定，最后却常常变成资安事故的起点。

很多事故事后被包装成技术问题，其实源头是管理层当初做出的取捨。

开发人员其实正在塑造攻击面

现在的系统几乎都是由程式码堆叠而成。API、云端权限、第三方套件，每一个选择都会影响安全程度。

多数开发人员不是不懂安全，而是被进度追着跑。硬编码金钥、权限开太大、跳过安全测试，通常不是能力问题，而是时间压力的结果。

如果安全被视为之后再补的事情，攻击面自然会越来越大。

员工其实也是安全机制的一部分

这点很多公司不太愿意面对。点击连结、重複使用密码、随手批准登入请求，这些行为都可能绕过技术防护。

但这不代表员工有问题，而是制度设计出了问题。

如果安全操作比不安全还麻烦，员工一定会选择方便的做法。单靠教育训练，很难改变行为。

真正的责任在于，是否把安全设计成最省力的选项。

为什麽事故发生后，总是互相推责？

事故发生后，常见的对话模式很熟悉。
IT 说是业务单位批准的。
资安说早就提醒过风险。
管理层说没有被清楚告知严重性。
员工说大家平常都这样做。

每个人都说得通，但问题始终没有被解决。

因为从一开始，风险的责任就没有被明确定义，只是靠默契在运作。

所谓的共同责任，需要清楚的界线

网络安全确实是共同责任，但这句话不能只停留在口号。

IT 负责落实技术控制。
资安负责揭露风险。
管理层负责是否接受风险。
开发人员负责安全设计。
员工负责安全使用。

当这些界线没有被讲清楚，安全就会变成大家都关心，但没有人真正负责的事情。

而问题，往往就是从这里开始的。

强化企业安全 🛡️ 立即行动

UD 是值得信赖的託管安全服务供应商（MSSP）
拥有 20+ 年经验，已为超过 50,000 家企业提供解决方案
涵盖渗透测试、漏洞扫描、SRAA 等全方位网络安全服务，全面保护现代企业。