8家专营信用卡公司全部高管中,IT负责人占19%
防御黑客攻击等信息安全专家仅占“3%”
“有必要保障指挥安全战略、控制风险的权限”
接连发生的信息技术事故让信用卡公司饱受阵痛,但也有观点指出,负责信息安全的高管人数不足,职级也偏低。有建议称,应补充安全专业高管,并参考美国、英国等海外案例,在首席信息安全官下设立强有力的组织与汇报体系。
46名IT高管中,负责安全的仅8名
6日,对韩国8家专营信用卡公司——三星、Shinhan、现代、KB国民、乐天、友利、Hana、BC卡——披露的截至第一季度末季度报告进行分析后发现,在245名高管中,与IT相关的高管为46名,占19%。相比之下,信息安全高管在8家公司中均仅各有1名,占全部高管的比重仅为3%。从职级来看,7人为常务级,1人为本部长职务代理。
卡司内部的IT相关组织大致分为信息安全、IT运营、消费者保护等部门。在46名相关高管中,负责AX(人工智能转型)、DX(数字化转型)、平台、数字创新等提升盈利能力工作的普通IT高管多达38名,占83%;而负责防范黑客攻击等风险管理的信息安全高管仅8名,占17%。
即便在首席执行官和外部董事中,也很难找到信息安全专家。信用卡公司代表董事大多主修经营、经济、财务、行政、政治外交学等专业,外部董事也多数由经营学、经济学专业人士或法学、税务会计、行政学专家构成。虽有任命工科背景人士的案例,如Shinhan卡外部董事 Choe Jaebung(机械工程)、乐天卡外部董事 Mun Yongma(产业工程)、BC卡外部董事 Yu Hyeok(计算机工程)等,但拥有金融业网络安全或信息保护实务经历的专业人士担任外部董事的案例仍较为少见。
学界指出:“仅满足最低标准的‘门面式’经营”
学界指出,信用卡公司的信息安全高管不仅人数不足,在组织内的权限也较为薄弱。批评认为,在普通IT高管将以盈利为中心的业务推到前台的情况下,一名常务级信息安全高管很难在董事会或管理层会议上强硬要求增加安全预算。
《个人信息保护法施行令》第32条规定,年销售额在1500亿韩元以上的企业中,若处理100万人以上的个人信息,或处理5万人以上的敏感信息或固有识别信息,必须指定专业个人信息保护负责人。只是,法规并未规定其职级必须达到专务级或副社长级以上。因此,有批评指出,金融公司为了仅满足最低限度的法律标准,往往任命高管中最低职级者担任信息安全负责人,形成一种“门面式经营”。
梨花女子大学经营学院教授 Chae Sangmi 表示:“虽然确保人力和承担成本确实会带来负担,但随着经营系统不断高级化,能够在董事会或管理层会议上为盈利性业务踩刹车的信息安全专业高管是绝对必要的。”她还称,“确保能够保障预算执行效率并统筹全公司安全战略的信息安全高管,是当前最及时也最根本的对策。”
她接着表示:“如果每家公司仅有1名安全负责人,且其职级不过是常务级或本部长职务代理,那么在决策过程中势必存在严重局限。”她补充称,“当由专务级以上人员领导的营销、营业部门以提高盈利为由要求简化安全流程时,由常务或本部长职务代理强力加以制止,从金融公司组织运行逻辑来看几乎是不可能的。”
业界:还应考虑控股公司与业主企业治理结构……汇报体系更重要
不过,信用卡业界解释称,还应考虑母公司和集团属于金融控股体系或大型企业(业主)体系的经营现实。尤其是对于控股体系或大型企业体系下的金融公司而言,高管人数本就有限,各金融公司正根据自身规模和组织结构配置信息安全高管。此外,业界还主张,即便人为提高信息安全高管的职级,公司的安全水平也未必会按比例提升。
一名信用卡业界相关人士表示:“信用卡公司并未停留在扩大信息安全预算或组织改组层面,而是在同步推进技术和战略投资。”他称,“即便信息安全负责人是常务级,也会根据首席执行官的经营方向,充分独立地提出意见。”
也有观点认为,关键在于确保组织内信息安全负责人的实际地位以及强有力的汇报体系。相关人士指出,与其单纯增加高管人数,不如向具备专业性的高管明确赋予责任与权限,以更高效地发挥组织运作效果。
祥明大学经营学院教授 Seo Jiyong 分析称:“在美国、英国、日本等国家,通常是设置1名首席信息安全官,并在其下建立强有力的组织及向董事会汇报的体系来运营公司。”他表示,“比起信息安全负责人的职级本身,更重要的是其在组织内拥有哪些实际权限,以及是否拥有独立的汇报体系。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
![[独家]回生、破产前先经过信用恢复委员会债务调整……推进“债务调整前置主义”立法](https://cwcontent.asiae.co.kr/asiaresize/307/2022102710072884384_1666832847.jpg)