好奇想知道, 這位資安長的背景和經歷?
(業界很小, 講個大概就知道有沒有料...)

此外, 你們想要合哪個規?

ISO 27xxx? (這裡面有 40+ 種不同類別)
SOC2 Type2?
GDPR?
NIST CSF v1/v2?
NIST 800-53?
PCI DSS?
IEC 62443?
FIPS140?
ISO 21434?
MDR/MDCG?
SWIFT CSP ?
....

(我不知道你們的行業別, 所以隨便抓各種行業)

相信你們對上面這些可能沒有概念, 所以要反過來問:
你們會被誰要求合規?

先知道利害關係人對你們的要求到甚麼程度? 才會知道要合哪一種規?
(沒有一個股東, 會沒事自己跳出來說:要把資安做到極致, 他一定是受到某方面壓力...)
資安就跟 ESG/CSR 議題一樣, 是花錢又不能賺錢的事情, 必須有很強大的動機才會做.

學術派出身的, 可能就會要求高大上, 把學術研究精華要求你們全部實踐, 這樣才有業界的實踐績效與成就, 能讓他在學術界獲得比較高的名氣; 但他可能不會顧及你們的: 環境差異, 預算規模, 支援能力, 認知落差.

實務派出身的, 也會分兩種:
一種紅隊出身, 非常在意零風險, 不惜投入鉅資也不要讓資安部門來背鍋...
一種籃隊出身, 非常在意流程制度, 為了內控設下許多關卡, 卡死所有人...

你們要找的 (其實也是所有公司要的) 應該是:
1.能帶公司所有部門鑑別出: 正確的風險來源和發生機率
2.能溝通並理解所有利害關係人關注的焦點, 並取得平衡
3.不只是表面取證合規, 還能稽核出各項控制措施的實踐

找認證的導入顧問, 他只負責幫你導入取證, 但她不能保證: 你取證之後, 就能平安無事.

要找顯赫背景, 各種認證資格的人, 只要花錢就找得到; 但是, 要找到能在公司有限資源之下, 規劃出長程資安策略, 能逐步鎖緊合規程度, 且能獲得董事會信任, 願意承諾資源投入的人, 可能要花很久的時間....

信任是資安投入的關鍵, 所以通常陌生人都不適合立馬上任; 至少董事會成員, 要跟這位資安長有一年以上的合作經驗, 才會知道兩邊是否能夠磨合?

找資安公司也是個錯誤方向, 沒有一家資安公司能為妳們的資安背書, 他們只是想把手上的產品或服務賣給你們而已, 出事了最多拍拍屁股解約走人(沒有甚麼賠償條款喔, 有損失你們自己吞), 反正業界都知道: 資安不可能做到無風險, 遲早會遇到一次你擋不住的風險.

負責任的資安部門, 應該要教你們建立:數位韌性,
這遠比單純要求:沒有資安破口, 還更來得重要.

11/29 我在台灣投資人協會有一堂線上課程, 專對上市公司董事講解:
資安治理的盲點與對策, 你們可以先參考看看:
【TIRI線上董事、公司治理主管進修課程】漫談資安治理的盲點與對策

要找Virtual CISO/ vCISO，通常遇到的問題是:你怎麼知道這個人是否有足夠的經驗的知識符合需求?