IT 安全性：提高企業治理分數的大好契機

什麼是企業治理分數？

對董事會、管理階層和投資社群而言，企業治理分數的重要性正與日俱增。如果期望爭取利害關係人的支持，勢必得傳達對方所重視的訊息。經銷商往往重視銷售收益，資訊安全長 (CISO) 則會關注資料外洩風險。治理分數通常與領導階層的薪酬息息相關，也會影響分析師對公司股票的評價，因此對董事會而言關重要。

IT 安全性團隊若能遞出企業治理分數的改善成績單，將可爭取董事會的注意力。畢竟，在董事判斷所需因應之眾多風險和契機的優先順序時，各方都會極力爭取其青睞。只要在對方關注已久的指標上取得進展，將可說服對方將 IT 安全性列為優先事項。

Institutional Shareholder Services (ISS) ESG Governance QualityScore 等企業治理指標，不僅為董事會、管理團隊和投資分析師所關注的焦點領域之一[1]，更是上述各方的共通判斷依據。若要爭取這些利害關係人的支持，指出 IT 安全性投資和行動架構在 QualityScore 方面的進展，將可發揮良好成效。

許多企業治理領域的領導者，皆同意 IT 安全性為企業治理的重要環節之一，並將其納入自身的評分方法內。網路安全性是董事會風險監督和管理策略規劃責任中的企業治理原則焦點領域[2]，哈佛法學院企業治理論壇 (Harvard Law School Forum) 也將其視為不斷進化的治理挑戰[3]。Corporate Finance Institute 則將安全性 (特別在資料外洩層面上) 列為企業治理原則之一[4]。

我們將找出 IT 安全性可透過哪些具體方式影響公司的 ISS Governance QualityScore，以獲得分析師的肯定、提高股東的價值，並提升管理階層的薪酬。如此一來，當董事會評估相關優先順序和 IT 安全性投資時，就能使用這項資訊做為判斷依據。

雖然此處探討的內容適用於所有地點以及各行各業，我們採用的評分範例取自於總部位於美國且名列標準普爾 (S&P) 500 指數的某間公司。

企業治理分數的計算方式

ISS ESG Governance QualityScore 為資料導向的計分和篩選解決方案，旨在協助機構投資人監控投資組合的公司治理情況。ISS Governance QualityScore 的全球版圖涵蓋近 7,000 家公司，包括名列 S&P 500、STOXX 600、Russell 3000 和 Nikkei 400 等指數的公司，以及世界各地的其他公司。

這些公司的年度會議記錄、監管文件和其他對外公開資訊每季都會進行審查 (有些活動會即時進行審查)，以更新 QualityScore。

計算方式已列於 ISS 網站上[5]。

若要提升組織的 QualityScore，並對應 IT 安全性投資和活動的影響力，請務必了解各項係數 (問題) 和計分方式。

計分主題包括：

• 董事會結構。
• 薪酬。
• 股東權益。
• 稽核和風險監督。

IT 安全性的相關係數則歸類稽核和風險監督的範疇下。我們將著重探討如何對應和提高這些係數。

除了根據係數計算得出原始分數之外，也會發表相對於同指數或同地區公司的排名，以利進行「同類型」的比較，而每個類別都會指派 1 到 10 的分數。圖 1 的範例顯示了總部位於美國且名列 S&P 500 的某間公司在每個類別的原始分數和類別分數。

表 1：總部位於美國且名列 S&P 500 的某間公司之計分方式範例。

表 2：總部位於美國的某間公司在每個類別的問題採計分數。

美國地區採計的係數共有 141 項。其中 21 項隸屬稽核和風險監督類別。在這當中，有 11 項攸關資訊安全性。因此，此類別半數以上的原始分數 (將進行擴充，以產生介於 1 到 10 的稽核和風險監督類別 QualityScore)，皆與 IT 安全性息息相關。

IT 安全性相關問題的定義，也會因 IT 安全性和合規性專業人員在因應 ISO、NIST 和類似安全性標準上所遭遇的情況而異。我們將於下一個章節探討這個部分。

從企業監管的角度出發，與董事會和高階主管進行 IT 安全性對話

治理分數中採用的係數，會視 IT 稽核所遭遇的情況而異。這些係數並不會涵蓋過度深入的控制和防禦機制細節，這點與 IT 安全性專業人員的期望稍有出入。有些可能隸屬追蹤已久的關鍵效能指標 (KPI)，例如與意識、訓練、財務和外洩相關的係數。

向領導階層提出投資方面的策略計畫或業務案例時，可將當中的內容與 QualityScore 係數相互對應，並預測治理分數的改善幅度。

下方提供的範例適用於 Microsoft Purview 稽核 (進階版) 的實作計畫。這項工具為 Microsoft 365 的一部分，可輕鬆部署、不會對使用者造成影響，也不涉及變更管理需求。如果發生認證竄改，它可提供鑑識資訊，以了解是否發生敏感資料外洩、惡意人士可能已存取哪些文件，並提供長期的稽核資料保留機制。

表 3：Microsoft Purview 稽核 (進階版) 與 ISS Governance QualityScore 的對應情況範例。

配合 Governance QualityScore 的相關措施，絕不僅限於支援安全性解決方案和投資等層面。

公司的部分既定作為，例如安全性訓練、以標準為基礎的稽核措施、指標和報表，皆會列入計分範圍中。進行這方面的溝通，以將其反映於治理分數中，將有助於提高公司的投資報酬率，並讓領導團隊更深刻意識到安全性團隊做出的貢獻。

只要讓資深領導團隊定期向董事會稟報資訊安全性相關作為，分數就可望大幅提高。

大幅提高分數的另一個方式，就是新增具有安全性相關經驗的董事會成員。如此一來，安全性部門就能向管理階層爭取所需的關注和投資，進而強化公司的安全態勢。

結論

展現公司的 Governance QualityScore 如何受惠於安全性投資，不僅可佐證其所帶來的附加投資報酬率，還有助於說服利害關係人大力支援安全性計畫。畢竟，即使利害關係人不認同 IT 安全性控管機制和程序的價值，甚或對 IT 安全性風險一竅不通，也難以忽視提升治理分數所帶來的財務和品牌價值。

在不久的將來，將 IT 安全性歸納在企業治理範疇下的期待可望水漲船高。對於安全性漏洞的重視，將有機會擴展為更全面的觀點。此外，還會有更多係數被納入考量，IT 安全性對整體分數的影響力也將節節攀升。

向領導階層進行簡報以說明行動計畫時，不妨考慮展現 IT 安全性投資或活動將如何提升貴公司的治理分數，以及業務案例和風險管理的其他層面。

如需深入了解 Microsoft 安全性解決方案，請前往我們的網站。歡迎將安全性部落格加入書籤中，一手掌握 Microsoft 專家所提供的安全性建議。此外，也請透過 @MSFTSecurity 關注我們，以獲得網路安全的最新消息和更新資訊。

本文件係依「現狀」提供，當中表達的資訊和觀點 (包括 URL 和其他網際網路網站參考) 若有變更，恕不另行通知。使用本文件的風險是由個人承擔。本文件無意做為法律借鏡或是法律或法務遵循意見之用。每位客戶的情況各有不同，請務必洽詢公司法律顧問，以進行法律和法務遵循評估。

歸檔：

合規性、網路安全性、數據治理

[1]Institutional Shareholder Services ESG Governance QualityScore，ISS。2022 年 3 月 31 日。

[2] 企業治理原則，哈佛法學院企業治理論壇 (Harvard Law School Forum on Corporate Governance)。2016 年 9 月 8 日。

[3] 網路安全性：不斷進化的治理挑戰，哈佛法學院企業治理論壇 (Harvard Law School Forum on Corporate Governance)。2020 年 3 月 15 日。

[4] 企業治理，Corporate Finance Institute。2022 年 5 月 8 日。

[5] Governance QualityScore，ISS。