維護企業管理意義與智慧

資訊安全涵蓋範圍相當廣，並非僅限於網際網路，也絕非只是防火牆（Firewall）、入侵偵測（IDS）、病毒防護（Anti Virus）...等產品，因為資訊安全必須以人事、實體與環境安全為基礎，所有的科技都以協助安全管理政策為目的，否則科技只是一個產品。


確保企業永續經營
辦公家具、電腦軟硬體、工廠機台皆是企業資產，當這些資產損壞時，可以採取的解決之道通常即為加以整修或重新購賣；可是對企業來說，更重要的是遇到損害時就難以復原的「資訊」，因為資訊隱含的是深刻的企業管理意義與智慧，而且由於企業產業特性或經營主軸的差異，企業認為重要性最高的資訊也各有不同，例如研發過程的相關資料、客戶資料等，另外，財務、人事資料也是企業持續營運上不可或缺的；而且這些資料環環相扣，少了一個都會造成公司營運上的阻力。

其實，企業不僅擁有電腦、辦公設備等有形資產，且擁有資訊與工時等無形的資產；隨著企業逐漸網路化，一旦Mail Sever當機即會造成業務的中斷，舉例來說，一間擁有300位員工的公司，可能需要至少一個小時進行處理，無法正常工作的工時將造成企業的重大損失。更嚴重的是，網路犯罪日益猖獗，國外就出現駭客入侵上市上櫃公司網站更改財報與股價的案例，致使投資人信心大受影響，直接反映在該公司股價上。因此，如何確保以上影響企業發展的問題不要發生，而且就算不幸發生，也要立即處理，即是企業應該思考的重要工作，以保護企業資產完整，使可能發生的損害減到最低，確保企業能夠永續經營。


人、流程與科技是安全管理的三要素
駭客、騙子與天災是資訊安全的三大威脅，由於網際網路四通八達的特性，資訊完全暴露在全球所有駭客的眼底，另外，騙子利用人為疏忽破壞資訊安全，以所謂社交工程（Social En-gineering），利用電話等方式騙取企業內部人員的密碼，也不容輕忽。至於天災部分，921大地震造成的大規模停電、去年納莉颱風造成的水災，即是企業所面臨的資訊安全浩劫。

資訊的「重建」比「建立」更要曠日費時，尤其是跨國企業一旦有安全漏洞而讓駭客或病毒等威脅有機可乘時，可能造成整個企業全球性的癱瘓，因此對於資訊安全的重視實刻不容緩！People（人）、Process（流程）與Technology（科技）是安全管理三要素，資訊安全管理也是如此，唯有三個要素緊密結合才能形成資訊安全鐵三角。其中人事安全是三個要素中最重要的，因為企業擬定出來的安全政策還有賴具備安全緊急意識的「人」去遵循；根據國外統計，企業資訊安全問題的源起，超過80﹪以上的比例出於內賊，而企業若能掌握Process順暢，即可掌握80﹪以上的安全。必須再次強調的是，資訊安全的範疇絕非僅指防火牆、防毒軟體或入侵偵測...等產品，而是透過資訊安全相關產品的協助，再輔以門禁、監視等實體安全（Physical Security），以及具備資訊安全觀念或專業技術的人；如此資訊安全的運作才堪稱完整，得以達到企業需要的安全目標。


資訊安全工作責無旁貸
企業政策的推動必須以由上至下（Top-down）的方式，才容易達到目標，同樣的，企業資訊安全工作在共識的建立、政策的擬定與工作的推動，也必須由上至下，也就是經營者須認識資訊安全的重要性，並進一步了解企業需要的資訊安全程度為何，如此一來，才能確定工作方向，積極貫徹進行，並適時給予「支援」與「資源」。