https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

認識「企業安全管理」~遠傳電信安全管理處經理徐子文專訪

2001 / 06 / 13
認識「企業安全管理」~遠傳電信安全管理處經理徐子文專訪

整理/郭慧姿


企業安全管理的效用,不單只是針對企業體進行安全性管控,更有助於營運績效的成長與事業版圖的擴展,其運作層面統籌資訊安全、實體安全與人事安全各領域,最終目的則在於確保企業的永續經營。A&S特專訪遠傳電信安全管理處經理徐子文,期透過徐子文在安全領域的專業視角,呈現「企業安全管理」的要義。
企業安全管理的觀念
「行船走馬三分險」,平心而論,風險無所不在,企業經營也會有風險,重點在於如何管理以分散、抑制風險。企業安全部門最重要工作便是維持企業的正常營運,擬定緊急應變計劃,讓所有緊急狀況都在掌控當中。企業可能遭受哪些「不安全」事件的干擾?徐子文舉例,921大地震造成的大規模停電,就需要事前的防範未然,例如事先租用發電機,以確保企業停電時不受影響;而隨著產業競爭日趨激烈,如何防範產業間諜的入侵也是值得企業關注的課題。




值得注意的是,公司不僅擁有電腦/辦公設備等有形資產,且擁有資訊與工時等無形的資產;徐子文舉例,隨著企業逐漸網路化,一旦Mail Sever當機,一間擁有300位員工的公司,可能需要至少一個小時進行處理,無法正常工作的工時將造成企業的重大損失。更嚴重的是,網路犯罪日益猖獗,國外就出現駭客入侵上市上櫃公司網站更改財報與股價的案例,致使投資人信心大受影響,直接反映在該公司股價上。徐子文說,確保以上影響企業發展的問題不要發生,而且就算不幸發生,也要立即處理,即是安全部門的重要工作。也就是說,企業安全部門成立的目的在於保護企業資產完整,使可能發生的損害減到最低,確保企業能夠永續經營。



安全管理的三要素
與其他管理一樣,安全管理三要素是People(人)、Process(流程)與Technology(科技),因為事是由人做出來的,人事安全是所有安全當中最重要的,企業擬定出來的安全政策還有賴具備安全緊急意識的「人」去遵循;而企業若能掌握Process順暢,即可掌握80﹪以上的安全;徐子文特別釐清,Technology並非單指CCTV、門禁系統等設備,而最近相當熱門的資訊安全也絕非單指防火牆與防毒軟體而已;所有的科技都以協助安全管理政策的達成為目的。


企業安全管理的六大方向
資訊安全(Information Security)、緊急應變計劃(Emergency
Planning)、企業安全稽核及事件調查(Security Audit&Investigation)、企業安全教育訓練及宣導(Security
Awareness Training , Education & Promotion)是企業安全管理的六大方向,其中,前三者是企業安全管理的主軸,後者則是支援前三者的支柱。





1.實體與環境安全:

實體安全的重點在於防止未經核准的進出,影響或損害工作業務場所、資產和人員。環境安全則由實體安全擴大出來,意指企業在選擇營業所在地必須特別評估週遭環境的安全,例如治安是否良好、水電是否充足。





?實體與環境安全包含進出管制(Access & Egress Control)、活動監測管制(Surveillance
Control)兩個管制目標,以及嚇阻(Deter)、偵測(Detect)、延遲(Delay)與拒絕(Deny)四個防衛手段;

?實體與環境安全常用設備及方法包含:牆、籬笆、鐵絲網等實體防禦
(Physical Barriers)、涵蓋照明與防禦功能在內的燈光(Lighting)、囊括警衛、鎖、鑰匙在內的門禁管制系統(Access
Control System)、CCTV等活動監測系統(Surveillance System)與警報系統
(Alarm System)。





2.人事安全:

重點在於降低因內部或外部人員不當行為所產生的風險。徐子文表示,人事安全是企業安全管理中最基本也最重要的部分,他建議企業必須進行新進人員、職務敏感或擔任重要職務人員的人事背景查核,尤其是重要的職務務必進行分工,避免全由一人負責。此外,「人情」的包袱也是必須避免的,ISO17799資訊安全規範(ISMS)就規定系統的開發者與系統操作者必須身處二個不同地點的辦公室,以避免「見面三分情」的情況發生。徐子文強調,安全意識的形成相當重要,因此企業必須進行人員教育訓練與宣導,否則裝設再多的攝影機、監視器也是枉然。





3.資訊安全:

資訊安全的重點在於保護資訊及其支援處理設備、系統和網路的機密性(Confidentiality)、完整性(Integrity)和可獲得性(Availability)不受到各種方式的威脅,使可能發生的事業損害降至最低,確保企業的永續經營;例如,程式設計師寫完程式必須向企業公開原始碼、企業Data
Center必須進行資料異地備援...等等都是基於保護企業資訊安全的考量。



徐子文強調,資訊安全涵蓋範圍相當廣,並非僅指網際網路,也絕非只是防火牆,因為資訊安全必須以人事、實體與環境安全為基礎,所有的科技都以協助安全管理政策為目的,否則科技只是一個產品,他指出,在全國資訊安全會議或是全國資通安全會議上,大家都不再完全以技術為焦點,而相當注重管理,他舉例,當電腦為了資訊安全的緣故裝上防火牆,卻擺在人員進進出出的大門口,如何稱得上安全?





徐子文表示,資訊安全涵蓋實體保護層(Physical Barriers)、邏輯保護層(Logical
Barriers)、資料轉換處理&儲存(Data Transfor-mation & Storage),領域相當廣,重視資訊安全,等於關照了各項安全,對企業安全管理實有相當大助益。ISO17799
資訊安全管理系統即指出資訊安全控制目標包括:





Policy(擬定企業安全政策;企業安全政策必須與企業經營目標一致)

Organization(明確規範安全工作由誰負責,國外很多企業即成立了安全部門,尤其是美國)

Assets Classification & Management(了解公司資產,以了解要保護的有哪些,值得投入多少費用)

Personal Security(人事安全)

Physical & Environmental Security(實體安全)

Communications & Operations Management(通訊設備管理)

Access Control(指邏輯保護層,例如Password)