觀點

如何進行電子郵件安全管控?

2002 / 06 / 28
如何進行電子郵件安全管控?

先訂資訊安全政策











IBM資訊服務部高級資訊工程師陳俊昌建議,解決資訊安全問題,應先從制定安全政策著手。

有鑒於企業對於資訊安全問題往往先從資訊技術著手,IBM資訊服務部高級資訊工程師陳俊昌表示,會建議客戶解決資訊安全問題時,就安全政策(Policy)、法律規章(Legal)、執行作業(Operation)與資訊技術(Technology)進行考量,例如,先思考公司是否需要引進對電子郵件的安全管控(Security
Control),在避免侵犯員工隱私權或其他法律的基礎,訂出相關政策規則,並讓執行作業與規則取得平衡;最後才是找尋能夠支援公司政策的資訊技術。



陳長榮進一步指出,企業資訊安全政策的制定是經過充分討論的,以IBM來說,即由CIO、安全官、負責業務改造的員工共同討論,全體皆同意才會訂下這一條規則。


安全官與稽核
「IBM的安全官不只關照資訊安全,還有人身安全,例如哪些地區因動亂或其他因素不適宜前往出差,或需要特別留意安全」,陳長榮說,IBM將人視為重要資產,「資訊安全都要照顧了,更何況是人身安全(Safety)」?



IBM設有安全室與稽核室,安全官與稽核兩個職務是公司業務(Business)之外,兩條獨立的線,其工作直接報告給總公司CEO。安全官進行安全管理工作,稽核的工作則是確認管理的工作是否完善、落實;兩者的工作相輔相成。



完整的教育訓練



















IBM資訊服務部協理陳長榮表示,IBM對電子郵件的規範,同時兼顧了保護企業的營業機密與對員工的尊重。

陳長榮進一步指出,新進員工初至公司的第一週內,一定要接受正式的教育訓練,以了解何謂資訊安全,此外,公司每年至少安排一個全球員工的主題教育訓練,去年的主題即為「如何注重Notebook安全」:透過特別拍攝的影片,讓員工觀看並簽名確認其是否了解內容;而且在看影片前,主管尚必須接受教育訓練。而除了正式、例行性的教育訓練外,非正式的資訊安全相關提醒也很頻繁,例如病毒提醒,或是安全官會視情況提醒員工注重相關資訊安全問題。由於落實教育訓練,IBM員工對於資訊安全工作可能造成的不方便,幾乎沒有抱怨,陳長榮表示,因為「落實資訊安全相關環節,就像中午12點到了要吃飯一樣自然
」。







<< Back



給企業的建議
目前一般的企業或組織對資訊安全需求的解決多半是買一個產品來進行防堵,才發現效果未如預期,陳長榮建議企業先確定哪些業務是重要而需要被保護的,因為資訊安全的相關建置涉及成本以及較為不方便兩個考量,因此,透過業務的觀點,在成本、安全與便利取得平衡點相當重要;接下來企業應再作風險管理分析,從流程或技術的角度找尋保護的方法,再進行稽核工作。陳長榮說,IBM就是這樣做的。



IBM訂出的電子郵件管控規則是採負面表列方式,例如:


 






























不要寄或轉寄和業務無關的MPEG及JPEG檔案;(考量:安全、避免侵犯著作權、避免佔用頻寬)
除非加密或經過特別允許,不可將IBM的機密資訊透過Internet寄出;
不要設定自動回覆(Auto Reply)去回應Internet的郵件;(考量:例如設定Out
of Office的自動回覆時,有可能會讓競爭對手或其他有心人士知道你正在休假或出差);
寄信或回信至Internet時,內容不要包含其他員工的名字或使用ID
不要用公司的電子郵件去訂私人的電子報或留下資料(考量:因為這些資料可能被轉賣,而招致垃圾郵件的打擾)
不要打開或轉寄垃圾郵件,也教導員工若不斷收到應如何處置(考量:以免佔用頻寬)
不要用公司的電子郵件帳號轉寄或交換資訊至Web
Mail(考量:避免機密文件被洩漏)
不要轉寄連鎖信或惡作劇郵件。
<資料提供:IBM>




電子郵件的安全管控
陳俊昌建議,企業應明文規定電子










由於對於資訊安全管理與執行相當落實,IBM公司進一步提供企業資訊安全相關服務。

郵件使用之準則(Guideline),以讓員工明瞭,例如:

*電子郵件在業務使用或私人使用的範圍各是如何;

*電子郵件可否做私人使用;

*Access Control(存取控制)或傳遞機密資料應作的保護;

*基於業務保護的原則,公司可能會進行相關的管理或稽核工作。



此外,他也舉了一些企業對電子郵件的使用規範範例:

*電子郵件是由公司提供給員工作為處理業務之用,不可作為私人用途;

*在公司電腦或網路的所有電子訊息,皆是公司的資產;如果具備合理的理由,公司保留權利存取(Access)員工的電子郵件,但是除了安全的考量或是法律的要求,電子郵件的內容不能被揭露;

*保護電子郵件的信箱與使用ID是員工的責任。



陳長榮強調,IBM透過教育訓練等方式讓員工知道資訊安全的重要性,而且採取信任、尊重員工的態度;在進行相關監控(Monitoring)的同時,當發現異常現象時,系統會透過電子郵件知會員工個人,請個人進行解釋,這時,另一個流程(Process)也啟動了,需要回頭確認員工的電子郵件;他進一步指出,信任員工是IBM的文化,IBM對電子郵件的規範,同時兼顧了保護企業營業機密與對員工的尊重。