老生常談再話資安政策

資安政策仍未受重視
資安績效無法突顯，仍然是主要因素，資安做的越好，越看不到意外，越顯出太平盛世。我們可在一段時間之後看到BSi整理出來的績效衡量指標，屆時希望可出現一些改善效果。

如果企業未能主動改善，往往我們得寄望於法規的規範。透過法規的要求，企業必須做好基本要求，以避免觸犯法令。但國內在參考國外相關法規以制定國內適用的法規時，有關企業強制要求的部分，往往卻步不敢引用，失去對企業一些基本的規範與要求。

銀行業因應國際Basel II必須做相關的對應要求，這是業務相關的規範，不得不遵循。另外，證期會將資安列入第九個循環，只是稽核單位不知該稽核哪些項目、如何稽核，這部分倒是該儘快擬定。

社會普遍缺乏安全意識
國內不斷發生的詐騙行為，即使受過高等教育的人士也不斷受騙。看來只有少數從事資安的人員，才對資安有比較深刻的了解。我們的社會除了數位落差之外，仍存在著資安落差，亟待大家共同努力。

管理階層以業績目標為導向
業績擺第一不利資安運作。安全與效率常常背道而馳，何況可能衍生新成本。有這種心態，推展資安政策到底會產生哪些影響，自然不會深入去了解，更不要探討說資安政策該如何訂定。據統計國內中小企業有資安政策的低於30％(已經算不錯的了) ，通常沒出過事的公司，大概不會訂定任何資安相關政策；相反的，出過事的公司，多少都會擬定一些安全政策，以避免類似事情再次發生。這是不是很諷刺？

偏重技術導向
大部分的公司聽到資安問題就直接推到IT技術，當然政策無法推動，大家往往忽略「人」才是問題的根源。建立資訊安全系統的三大支柱：「技術」、「管理」、「法令」，三者並重才能見效。法令提供所有管理上的依據，有了必要的管理制度，才能落實技術所能帶來的成效。

資安政策不易落實

政策如果動機解釋不清，增加使用者許多限制及不便，同事們當然不願意配合：密碼要求一定長度、必需混合符號數字及字母、每十四天必須更換一次，結果使用者將密碼寫在貼紙上，不再貼到螢幕上改貼其他比較看不到的地方；門禁刷卡借給同事，他不知道有log紀錄，有一天如果出事會帶來不必要的麻煩。

另外經常出現在許多單位，無論人員調動或是離職，權限常常未能及時隨著更動或取消。

訂定任何政策，為何要這樣規定？有哪些考慮點？溝通越多、越容易獲得使用者的支持，國內常見的就是政策擬定出來後，發佈公告就結束了。資安工作能落實與否，真的必須靠最高主管，將資安工作放在較高的順序，擬定明確的資安政策，並不斷的對全員宣導資安觀念，才能落實政策建立安全的環境。