整理/王宇平
口述/徐子文
莫菲定理:會出錯的就可能會出錯(Whatever will go wrong, can go wrong.),企業中零風險是不存在的,因此,須運用風險評估的方法,以確認保護目標,再據此目標來定義及選擇對應方法。
確認保護目標、選擇對應方法 企業中哪些資產需要被保護?其存在的風險種類及程度如何?充分掌握為什麼這些資產會受到威脅?並評估當這些資產受損時的後果為何?確認保護的目標後,即可運用規避風險(Avoidance)、預防損失(Loss Prevention)、抑制損失(Loss Reduction)、分散風險(Segregation)、移轉風險(Risk Transfer)等方法來管制風險。
至於應選擇何種對應手段時,則可依據企業安全管理的六大方向:實體與環境安全、人事安全、資訊安全、緊急應變計劃、企業安全稽核及事件調查、企業安全教育訓練及宣導等來執行。限於篇幅,本文以實體與環境安全為主,其他方向為輔,介紹其安全防護之方法,以粗窺企業安全管理之全貌。
實體與環境安全(Physical & Environment Security)指防止因未經核准的進出,影響或損害到工作業務場所、資產和人員。此處的環境安全與環保工作略有差異,例如避免選擇地震帶、洪水帶為企業所在地,也包括企業所在地的區域政治、治安等問題考量。
安全考量及功能目標
對標的物之安全考量方向指「由外至內」的防護:由「設施四周鄰接地(環境)」考量起、乃至「設施外圍」、然後進入「設施內部」、最後才是「設施內容物」。在設計實體及環境安全計畫時,須作以下考量基礎:安全縱深配置 (Security in Depth)、防禦線設計 (Lines of Defense = Obstacles)、使用者特定需求 (Specific Requirement)、安全區級系統 (Security Zoning System)、法令、設施及設備限制 (Restrictions)、出入點管制 (Access Control)、活動監測 (Surveillance)、人員安全 (Safety)、方便性 (Convenience)等。
安全防護的目標眾多,在作安全防護計畫時,則可選擇功能目標 (Functional Objectives)來作業:其中包括兩個管制目標~進出管制(Access & Egress Control)、活動監測(Surveillance);和兩個設計思考目標~防禦縱深(Security in Depth);預防犯罪式環境設計(
Criminal Prevention Through Environmental Design,簡稱C.P.T.E.D.)。
此處簡述C.P.T.E.D.設計原則大綱,以供參考:1.提供清楚的區域劃分,特別是控制區域。2.群眾活動區域安排(無安全顧慮的活動放在較低保護的區域;有安全顧慮的活動放在較高保護的區域)。3.設計安排環境,加強利用自然監測 (natural surveillance)。4.改進空間的使用頻率及時間。5.減少距離及孤立。
常用設備及方法
實體及環境安全常用設備及方法則包括:實體防禦、防衛性照明、門禁管制系統、活動監測系統、警報系統等。
常用的實體防禦器材有圍籬、鍊條、刺絲、鐵絲網、蛇籠等,宜注意的是:對「專業」入侵者只能阻擋至多一分鐘的時間。一般可以作為嚇阻作用及裝置偵測線(trip wire)、器之用。若可能,要設立「緩衝區」(Clear Zone)。
防衛性照明的重點在於黑暗地區及時間提供需要之照明,協助警衛,警衛(或設備)瞭解目標狀況。照明具心理嚇阻作用,當照明方向調整至可能侵入方向,能減低入侵者視能,提供警衛(或設備)先期應變準備時間。照明設計必須融合四周環境,才能達最大效果。設計上宜注意:照明的必須要有備用系統,重要之安全用照明必須有UPS電源。
門禁管制系統的重點不只是代替鎖及鑰匙之功能,最重要的是其管理功能。基礎的概念是愈少出入點愈好。實務管理原則包括:一人一卡、定期清查、進出記錄、權限管制、追蹤異常等。管理上可設立安全群組(依據職權等級、工作位置分組)及安全區級規劃(可分為公共區、一般區、管制區、限制區),以方便管理。也可運用門禁特殊功能進行管理,例如:刷卡一定要一進一出才有效;兩卡片要同時刷(短時間間隔)才有效;一門關後另一門才可以開;此外,限制人員攜帶物品亦是有效管制,諸如:所有個人物品都不能帶入;填寫物品攜出單;使用透明提等。
閉路電視監視系統的重點可協助及取代人力、可紀錄事件、具嚇阻作用。其完整的系統組成應包括:攝影機、傳輸設備、壓縮設備、錄影設備、人。操作人員是重點,CCTV系統只能當被動及輔助器材,沒人操作及注意的CCTV系統唯一的功能只剩下對不知情的人有嚇阻作用。設計CCTV系統時應注意攝影機的配置位置、人貨動線方向及流量、考慮鏡頭大小、高度角度、光源、電源、環境,最基本的是要留「成像」距離。其次,一卷錄影帶一般只能錄10-12次、錄影帶記錄保存卅天,都是設計時應注意的重點。
警報系統的重點是便宜、可取代人力、可輔助整體系統。因此,系統的穩定性非常重要,一天到晚都響的警報比沒有還糟糕。警報發送原則包括:事件觸發;喪失電源;短路、斷路或線路問題;偵測器故障;偵測器及附屬裝備遭外力破壞時。如何界定誤報或真實事件在設計警報系統時即需要清楚律定。
人事安全(Personnel Security)人事安全工作著重在人員的安全,是企業安全管理中最基本也最重要的部分。重點工作包括:人事背景查核(新進人員、現職敏感及重要職務人員、承包商、協力廠商、顧問 etc.);工作分類 (segregation of duties)及教育訓練。
資訊安全(Information Security)資訊安全保護的層次,由內面外依序為:資料轉換處理&儲存;邏輯保護層;程序及法規保護層;實體保護層。保護的重點即是機密性、完整性、可獲得性。工作上有幾項重點值得注意:1.人事安全最重要,實體及環境安全是基礎。2.所有科技手段應該以協助安全管理政策為目的。3.當心「社交工程(Social Engineering)」。4.特別注意資訊操作人員工作中的Segregation of Duty,因為萬能的員工往往也是最具風險的員工
緊急應變計劃 (Emergency Planning)指對人為或天然的災害預作準備以降低其對事業所帶來的負面影響。企業所有的部門都必須要有針對各種不同的緊急狀況事先研擬並演習過之「緊急應變計畫」,以減少企業在遭受此等危害時對營運及業務的負面影響。
企業安全稽核及事件調查 (Security audit & Investigation) 安全稽核及調查的目的在於:提供企業安全狀態及安全危害事件的真實資訊給企業管理階層以為參考或採取必要行動。實務工作有幾項重點值得注意:1.安全調查員必須經過組織正式的任命程序,以顯示組織的授權。2.在調查過程中,安全調查員必須要有主導權。3.此等權限應明白規定於公司之安全政策中。4.所有的正式調查都必須要文件化,並「機密」以上等級程序加以保存,或標注此文件純粹為為公司內部參考文件。
安全調查單位與內部稽核單位工作上並不衝突,任務上相輔相成,內部稽核以精準的流程查核達到目的,而安全調查則以「人」為工作重點,而在企業組織中,內部稽核通常隸屬於董事長,而安全調查則隸屬於總經理,達到雙重確認的效果。
企業安全教育訓練及宣導 (Security Awareness Training) 安全警覺意識教育訓練是建立公司企業安全文化最基礎也是最重要的一步,所有的員工必須知道公司的安全政策、安全程序要求和安全事件的處理及報告程序。
企業安全管理之成功因素安全管理的三項要素是人(People)、程序(Process)與科技(Technology)。安全政策須賴具備安全意識的「人」去執行;企業必須掌握「程序」才可能掌握安全;而所有的「科技」都是為達成安全管理政策的手段。此外,亦須認知主管才是企業安全管理成效良寙的決定者!
以下歸納出幾項因素,提供有心推動企業安全管理者參考:1.企業安全政策、目標及活動須符合企業目標需求。2.推行企業安全政策之方法須符合公司文化。3.來自於管理階層明顯的支持及承諾。4.明確的瞭解企業安全要求、風險評估及風險管理。5.有效的「銷售」企業安全觀念給管理階層及員工。6.主動將安全政策、準則和程序等相關資料發送給所有的員工和承包商。7.提供適當之訓練及教育。8.建立一個完整平衡的評鑑系統,用以評估企業安全管理推行的成效,並提供建議以供改進。