首頁 > 資安知識庫 > 防制資料外洩 > 資料庫安全

企業需要專職獨立的資安部門

作者:編輯部 -2017 / 02 / 10 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
很多人聽到資訊安全,馬上直覺反應這個議題很重要,然後以為就是在做電腦病毒防範之類的工作。但有參與過資訊安全工作的都知道,資安議題其實普遍存在企業各個資訊應用的環節之中。
例如在軟體開發上,最簡單就是要知道誰更新了程式版本。硬體架構上,則可能因為硬體容量不足而導致系統無法正常運作。而在無國界的網際網路中,我們無法得知所面對的敵人到底身在何方,所以網路更與資安息息相關;再加上異常事件通報、災害復原演練等,這些都與資安工作有所關連。
甚至以較嚴格的角度來看,所有IT相關的作業都應有一定的安全考量;但相對的,也可能會影響到組織日常流程的運作。如果又剛好發生一些重大的資訊安全事件,對於資訊安全的需求就會更加的提高。

資安工作需打破部門間的本位主義
當瞭解資訊安全的重要性後,接著討論的就是該由那一個單位負責?幾年前某企業曾發生過一個案例,為了配合新業務的上線,公司經過多方討論後決定直接向外購買軟體,然後再由程式開發部門進行客制化的修改,以符合新業務的需求。

但直到正式上線前的會議,負責主管把系統、網路的同仁全部召集起來,才知道系統的修補程式尚未更新,而如果要馬上進行更新則會一併影響到應用系統。同時還發現原先廠商在設計時,為瞭解決網路流量的問題,對外開放了整個區段的通訊埠,這些問題都直到在上線前才被注意到。

這時程式設計部門覺得要改程式已來不及,建議按照原先規劃的時間點上線。但系統部門及網路部門在安全與系統穩定的考量下,認為不應倉促上線,且在此同時還要背負著業務單位的壓力。最後是經過資訊安全部門的協調,先在預定的時程內上線,但同時也需要建立後續的補償性控制,且要求程式開發單位在期限內將程式修改完畢。 

在這個例子中很明顯看見,程式開發部門、系統部門以及網路部門都有各自的考量。這些考量有些是基於專業的立場,有些則是現實面的考量,但卻忽略了彼此之間的關聯性,同時對於資訊安全的著墨,看起來還有很多需要加強的地方。由這個例子就可說明,在企業廣泛應用資訊科技的今天,組織內應該設有專責的資訊安全單位,以統合不同部門間的運作,為企業在資訊安全與營運效益中找到一個最佳的平衡點。

1
推薦此文章
5
人推薦此新聞
文章回應話題
gary 發表於: 2017 / 02 / 10
講那麼多好像沒說到重點
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…