觀點

先檢視數位資產再訂定安全政策

2003 / 07 / 14
先檢視數位資產再訂定安全政策

文/吳佳翰


自從在數年前網路經濟泡沫化之後,高科技産業欲振乏力,全球消費信者心跌至谷底,連帶影響的,許多企業對於組織中科技部門的投資也漸趨保守,同時也大刀闊斧地進行各項成本的分析及縮減工作。這時能夠大量節省人力物力成本並增加生產力的數位資産管理(Digital Asset Management)概念才逐漸步上電子商務的主流舞台,而不再只是媒體及娛樂事業體的專利。


在國外,有許多金融及生化科技公司已逐漸地將過去的傳統物件資産予以數位化以加速營運流程,並即時提供給予客戶的交付事項及必要資訊。其實單看數位資産概念所帶來的便利並不足以得窺所造成影響的全貌,我們應該由許多面向來思考,但因囿於篇幅,本文將只就安全管理的角度來探討數位資産的管理

資産特性
誠如大家皆有的共識,企業安全的最終目的在保護公司所有賴以生存維運的資産。如果我們要將數位資産納入企業安全管理體系的保護傘之下,我們必須先審視數位資産的資産特性來判斷其是否符合一般會計原則上對所謂無形資産的定義。基本上,所有數位化的物件,只要符合下列幾項原則,都可視為是可列於資産負債表上的可計量無形資産。


1.非實體而不可觸摸

2.有排他的專用權

3.有未來經濟的效益

4.可供營業使用Br>


上述表列當然並不完整,不過已大致表達了會計界對無形資産的一般意見。從這裏我們可以看到,數位資産在其資産特性上確實具備了公司資産列表上的財務價值。既然是公司資産的一部分,我們對於數位資産的安全思維,即使是風險評量及保護方式有所不同,在態度上還是要與對傳統的實體資産的安全思維作一致性的考量。也就是說,在我們討論數位資産的同時,在管理上一定要合理地考慮到只要是資産都會有的各項風險。


風險管理
實體資產的儲存、分類及處理方式皆有固定形式且易於遵循,數位資產則必須考慮到各個不同使用階段在資訊安全上的風險點 ; 比如說,資産産生的過程,貯存的方式,可存取的對象及傳輸的方法,都必須謹慎地考量其潛在的威脅及弱點,並作分析,據以作為控管選擇的標準。


比較起一些其他非實體類的資訊資産,如講究結構性的應用系統、資料庫等,針對數位資産所作的風險分析其實會比較單純,因為前者的作業環境牽涉到多層的系統架構及繁複的應用軟體介面,而數位資産為非結構性的物件,故分析的面向會單純許多。不過,科技的長足進步加大了資訊作業環境中風險及威脅的多樣性,讓數位資産在儲存、分類、處理及控制方式的規劃更具挑戰性


內容管理
內容管理偏重於企業員工、企業用戶、合作夥伴和供應商方便獲得數位資訊的處理過程。內容管理的目的是把非結構化的資訊出版到intranets、extranets和網際網路上,從而使使用者可以檢索、使用、分析和共用。


過去的商業系統側重於結構化資料的存取管理,而內容管理則偏重於企業內部和外部非結構化資源的存取管理。內容管理的一個重要功能就是把內容與格式和流覽方式區別開來,允許企業內外更多的使用者通過網際網路或其他數位網路的途徑,以一種集中控制的方式連行管理,對內容的某個指定部分進行存取、操作、變更和控制。


權限管理
現在坊間有許多套裝的數位資産管理産品,提供了許多安全的功能,如透過強化的身份認証機制來確保物件不會輕易的被有心人士作未經授權的存取,或者物件的擁有人能夠透過管理介面來掌握使用者存取的權限,除了一般性的資料庫安全控制機制外,還包括加密,拷貝和傳播限制。


這些內建的功能在某種程度上是滿足了安全的需求,但如何善加利用這些功能以反映企業主良善管理的意圖,卻必須從上層的安全管理面來著眼,數位資産管理的最終目的是在將正確的物件、資料、檔案以正確的格式在正確的時間傳遞給正確的使用者。而這數位資產套流程的管理規範及“正確”意涵的定義須靠資訊安全政策來作一完整的釐清。


辨識風險
資訊安全政策是辨識一個企業在資安方面努力程度的重要指標。其存在與否展示了企業主有否解決資安風險的誠意。但一份條理分明,言之有物的資訊安全政策是否就是解決所有問題的答案呢?在筆者過去輔導的經驗中,眼見了許多政策文件誤用的現象。有的公司擁有兩份以上全然不同的安全政策;有的公司的安全政策雖然結構完整,文情並茂,但內容完全與公司現況相背離。有的公司的安全政策完善,但公司內部除了少數相關人員外,多數人全然不曉得這份文件的存在。


資訊安全政策之所以成為徒具形式的書面文件,要考慮的問題點很多,但大致上可從規劃面及執行面來看,規劃階段缺乏資産搜集辨識及風險分析的工作,執行階段全無公示告知及稽核查察的動作,在在都造成了資安政策在先天及後天上的致命傷。而此二者雖有因果關聯,但就筆者來看,前者對資安政策的影響遠比後者為大。因為資安政策代表的是企業主解決資訊安全問題的決策意志,而充滿意志力的錯誤決策對企業所造成的傷害往往會遠超過一般的天災人禍。


一份安全政策再條理分明、深淺適中、執行容易,如果不能與實際業務現況及資産使用情形接軌,就算是足以傳世的絕佳好文也沒有用。還有,一份好的資訊安全政策必須要適切地提示所適用的範圍,尤其是涵蓋了數位資産管理的政策,必須要能規範到數位物件的定義、形式,保存、管理、使用方式及所牽涉到的使用者或第三方的權利義務關係。


教育訓練
筆者在與某些客戶互動的過程中,發現資訊政策文件雖然存在,在控管的設置上也有落實,但所收的成效卻極為有限。其實大部份的癥結都出自於教育訓練的欠缺與規劃失當。


數位資産的管理與流程管理的關係非常密切。管理者必須要能確切地掌握數位資産的生命週期及其在不同階段所牽涉到的人員,並根據這些人與資産本身的相關特性來設計教育訓練,經由這樣的規劃理念方能設計出具有實效的教育訓練。我們常與客戶溝通一個觀念:資訊安全教育訓練的成本往往會比所預期的還高,除了一些必須的開銷外,如講師費及點心費用,必須還要考慮受訓人員參與訓練所損失的人力成本。正因為成本的考量,訓練對象的選定必須要能符合訓練的目需要,而且要確立評估的程序以掌握訓練的實效及受訓人員的理解程度。


稽核制度
管理制度有一個持續運作的生命週期,如何維護以確保其運作,往往是制度成敗與否的重要關鍵。稽核制度的規劃目的即是在確保企業安全管理體系的運作不息。所以當數位資産納入資訊安全的稽核制度來管理時,有一些安全上的要點要仔細檢視。如形式、版本控制、貯存方法、存取權限、流程控制點、隱私權及傳佈方式等。


數位資産管理不是一種單獨的創新技術,而是許多先進技術的綜合應用,它涵蓋企業內部網路(Intranets)、網際網路(Internet)和企業外部網路(Extranets)的應用,大大突破了傳統資訊流管理軟體、辦公自動化軟體以及文檔管理軟體的應用範圍和商業價值。面對這種新的整合應用趨勢,資訊安全管理人員在設計企業資訊安全時勢必在心態及思維上要有所調整,透過對企業各種類型的數位資產的產生、管理、增值和再利用的安全管理,改善組織的運行效率和企業的競爭能力。(本文作者現職為勤業眾信會計師事務所企業風險服務組副理)