https://newera17031.activehosted.com/index.php?action=social&chash=01e9565cecc4e989123f9620c1d09c09.2117&nosocial=1

觀點

維護企業管理意義與智慧

2002 / 03 / 29
維護企業管理意義與智慧

文/郭慧姿


企業經營有其永續經營的目標與責任,如何分散、抑制風險,即是企業在經營管理上的一大課題;尤其隨著網際網路的蓬勃發展,企業面臨的時代與環境,與過去相較之下已有很大的不同,快速流通的資訊不僅帶來生活與工作上的便利,也加深各界對資訊安全(Information Security)的矚目,因為資訊安全影響了企業的營運與未來發展。資訊安全這一門「顯學」,企業千萬不可輕忽。


什麼是資訊安全?
資訊安全(Information Security)的重點在於保護資訊及其支援處理設備、統和網路的機密性(Confidentiality)、完整性(Integrity)和可獲得性(Availability)不受到各種方式的威脅,使可能發生的損害降至最低,確保企業的永續經營。


資訊安全涵蓋範圍相當廣,並非僅限於網際網路,也絕非只是防火牆(Firewall)、入侵偵測(IDS)、病毒防護(Anti Virus)...等產品,因為資訊安全必須以人事、實體與環境安全為基礎,所有的科技都以協助安全管理政策為目的,否則科技只是一個產品。


確保企業永續經營
辦公家具、電腦軟硬體、工廠機台皆是企業資產,當這些資產損壞時,可以採取的解決之道通常即為加以整修或重新購賣;可是對企業來說,更重要的是遇到損害時就難以復原的「資訊」,因為資訊隱含的是深刻的企業管理意義與智慧,而且由於企業產業特性或經營主軸的差異,企業認為重要性最高的資訊也各有不同,例如研發過程的相關資料、客戶資料等,另外,財務、人事資料也是企業持續營運上不可或缺的;而且這些資料環環相扣,少了一個都會造成公司營運上的阻力。


其實,企業不僅擁有電腦、辦公設備等有形資產,且擁有資訊與工時等無形的資產;隨著企業逐漸網路化,一旦Mail Sever當機即會造成業務的中斷,舉例來說,一間擁有300位員工的公司,可能需要至少一個小時進行處理,無法正常工作的工時將造成企業的重大損失。更嚴重的是,網路犯罪日益猖獗,國外就出現駭客入侵上市上櫃公司網站更改財報與股價的案例,致使投資人信心大受影響,直接反映在該公司股價上。因此,如何確保以上影響企業發展的問題不要發生,而且就算不幸發生,也要立即處理,即是企業應該思考的重要工作,以保護企業資產完整,使可能發生的損害減到最低,確保企業能夠永續經營。


人、流程與科技是安全管理的三要素
駭客、騙子與天災是資訊安全的三大威脅,由於網際網路四通八達的特性,資訊完全暴露在全球所有駭客的眼底,另外,騙子利用人為疏忽破壞資訊安全,以所謂社交工程(Social En-gineering),利用電話等方式騙取企業內部人員的密碼,也不容輕忽。至於天災部分,921大地震造成的大規模停電、去年納莉颱風造成的水災,即是企業所面臨的資訊安全浩劫。


資訊的「重建」比「建立」更要曠日費時,尤其是跨國企業一旦有安全漏洞而讓駭客或病毒等威脅有機可乘時,可能造成整個企業全球性的癱瘓,因此對於資訊安全的重視實刻不容緩!People(人)、Process(流程)與Technology(科技)是安全管理三要素,資訊安全管理也是如此,唯有三個要素緊密結合才能形成資訊安全鐵三角。其中人事安全是三個要素中最重要的,因為企業擬定出來的安全政策還有賴具備安全緊急意識的「人」去遵循;根據國外統計,企業資訊安全問題的源起,超過80﹪以上的比例出於內賊,而企業若能掌握Process順暢,即可掌握80﹪以上的安全。必須再次強調的是,資訊安全的範疇絕非僅指防火牆、防毒軟體或入侵偵測...等產品,而是透過資訊安全相關產品的協助,再輔以門禁、監視等實體安全(Physical Security),以及具備資訊安全觀念或專業技術的人;如此資訊安全的運作才堪稱完整,得以達到企業需要的安全目標。


資訊安全工作責無旁貸
企業政策的推動必須以由上至下(Top-down)的方式,才容易達到目標,同樣的,企業資訊安全工作在共識的建立、政策的擬定與工作的推動,也必須由上至下,也就是經營者須認識資訊安全的重要性,並進一步了解企業需要的資訊安全程度為何,如此一來,才能確定工作方向,積極貫徹進行,並適時給予「支援」與「資源」。