認識「企業安全管理」~遠傳電信安全管理處經理徐子文專訪

整理/郭慧姿


企業安全管理的效用，不單只是針對企業體進行安全性管控，更有助於營運績效的成長與事業版圖的擴展，其運作層面統籌資訊安全、實體安全與人事安全各領域，最終目的則在於確保企業的永續經營。A&S特專訪遠傳電信安全管理處經理徐子文，期透過徐子文在安全領域的專業視角，呈現「企業安全管理」的要義。
企業安全管理的觀念
「行船走馬三分險」，平心而論，風險無所不在，企業經營也會有風險，重點在於如何管理以分散、抑制風險。企業安全部門最重要工作便是維持企業的正常營運，擬定緊急應變計劃，讓所有緊急狀況都在掌控當中。企業可能遭受哪些「不安全」事件的干擾？徐子文舉例，921大地震造成的大規模停電，就需要事前的防範未然，例如事先租用發電機，以確保企業停電時不受影響；而隨著產業競爭日趨激烈，如何防範產業間諜的入侵也是值得企業關注的課題。




值得注意的是，公司不僅擁有電腦/辦公設備等有形資產，且擁有資訊與工時等無形的資產；徐子文舉例，隨著企業逐漸網路化，一旦Mail Sever當機，一間擁有300位員工的公司，可能需要至少一個小時進行處理，無法正常工作的工時將造成企業的重大損失。更嚴重的是，網路犯罪日益猖獗，國外就出現駭客入侵上市上櫃公司網站更改財報與股價的案例，致使投資人信心大受影響，直接反映在該公司股價上。徐子文說，確保以上影響企業發展的問題不要發生，而且就算不幸發生，也要立即處理，即是安全部門的重要工作。也就是說，企業安全部門成立的目的在於保護企業資產完整，使可能發生的損害減到最低，確保企業能夠永續經營。



安全管理的三要素
與其他管理一樣，安全管理三要素是People（人）、Process（流程）與Technology（科技），因為事是由人做出來的，人事安全是所有安全當中最重要的，企業擬定出來的安全政策還有賴具備安全緊急意識的「人」去遵循；而企業若能掌握Process順暢，即可掌握80﹪以上的安全；徐子文特別釐清，Technology並非單指CCTV、門禁系統等設備，而最近相當熱門的資訊安全也絕非單指防火牆與防毒軟體而已；所有的科技都以協助安全管理政策的達成為目的。


企業安全管理的六大方向
資訊安全（Information Security）、緊急應變計劃（Emergency
Planning）、企業安全稽核及事件調查（Security Audit＆Investigation）、企業安全教育訓練及宣導（Security
Awareness Training , Education & Promotion）是企業安全管理的六大方向，其中，前三者是企業安全管理的主軸，後者則是支援前三者的支柱。





1.實體與環境安全：

實體安全的重點在於防止未經核准的進出，影響或損害工作業務場所、資產和人員。環境安全則由實體安全擴大出來，意指企業在選擇營業所在地必須特別評估週遭環境的安全，例如治安是否良好、水電是否充足。





?實體與環境安全包含進出管制（Access & Egress Control）、活動監測管制（Surveillance
Control）兩個管制目標，以及嚇阻（Deter）、偵測（Detect）、延遲（Delay）與拒絕（Deny）四個防衛手段；

?實體與環境安全常用設備及方法包含：牆、籬笆、鐵絲網等實體防禦
（Physical Barriers）、涵蓋照明與防禦功能在內的燈光（Lighting）、囊括警衛、鎖、鑰匙在內的門禁管制系統（Access
Control System）、CCTV等活動監測系統（Surveillance System）與警報系統
(Alarm System)。





2.人事安全：

重點在於降低因內部或外部人員不當行為所產生的風險。徐子文表示，人事安全是企業安全管理中最基本也最重要的部分，他建議企業必須進行新進人員、職務敏感或擔任重要職務人員的人事背景查核，尤其是重要的職務務必進行分工，避免全由一人負責。此外，「人情」的包袱也是必須避免的，ISO17799資訊安全規範(ISMS)就規定系統的開發者與系統操作者必須身處二個不同地點的辦公室，以避免「見面三分情」的情況發生。徐子文強調，安全意識的形成相當重要，因此企業必須進行人員教育訓練與宣導，否則裝設再多的攝影機、監視器也是枉然。





3.資訊安全：

資訊安全的重點在於保護資訊及其支援處理設備、系統和網路的機密性（Confidentiality）、完整性（Integrity）和可獲得性（Availability）不受到各種方式的威脅，使可能發生的事業損害降至最低，確保企業的永續經營；例如，程式設計師寫完程式必須向企業公開原始碼、企業Data
Center必須進行資料異地備援...等等都是基於保護企業資訊安全的考量。



徐子文強調，資訊安全涵蓋範圍相當廣，並非僅指網際網路，也絕非只是防火牆，因為資訊安全必須以人事、實體與環境安全為基礎，所有的科技都以協助安全管理政策為目的，否則科技只是一個產品，他指出，在全國資訊安全會議或是全國資通安全會議上，大家都不再完全以技術為焦點，而相當注重管理，他舉例，當電腦為了資訊安全的緣故裝上防火牆，卻擺在人員進進出出的大門口，如何稱得上安全？





徐子文表示，資訊安全涵蓋實體保護層（Physical Barriers）、邏輯保護層（Logical
Barriers）、資料轉換處理&儲存（Data Transfor-mation & Storage），領域相當廣，重視資訊安全，等於關照了各項安全，對企業安全管理實有相當大助益。ISO17799
資訊安全管理系統即指出資訊安全控制目標包括：





Policy（擬定企業安全政策；企業安全政策必須與企業經營目標一致）

Organization（明確規範安全工作由誰負責，國外很多企業即成立了安全部門，尤其是美國）

Assets Classification & Management（了解公司資產，以了解要保護的有哪些，值得投入多少費用）

Personal Security（人事安全）

Physical & Environmental Security（實體安全）

Communications & Operations Management（通訊設備管理）

Access Control（指邏輯保護層，例如Password）