歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
防護危機 無所不在~技術面、環境面、行為面建構企業安全網
2003 / 03 / 05
李哲祥
資訊安全,過去一般人談到這個議題的時候,首先想到的就是和「電腦」有關的事或物,例如駭客、病毒、電子郵件炸彈、網際網路入侵等等。通常企業主管一聽到「資訊」這兩個字,首先想到的就是資訊單位。但是這只是最基本、狹隘的認知而已。藉著本專欄,我們要跟大家一起來建立正確以及完整的資訊安全觀念。
資產保護 馬虎不得
在深入了解資訊安全之前,首先要了解「資訊」的定義,到底「資訊」是甚麼?想想看,在日常的工作中,從早到晚,您所經手或處理的資訊有多少。您的辦公桌上放置了多少與公司經營相關的紙張(想想看紙張上列印了多少資訊)?
貴公司有多少回收紙(如果有的話)再列印後流傳到公司以外的地方?您的通信內容(包括電子郵件、電話、和網際網路)是否包含公司經營的機密資訊?這些「資訊」如果流落到您的競爭對手上,對貴公司的營運是否會造成影響?從以上的幾個例子,我們可以了解,所謂的「資訊」指的是:它存在於任何形式,不論是有形或無形的,對企業的永續經營會造成損害或損失的「有價資訊資產」。
當損害發生時,在財務帳冊上登錄管理的資產,對企業的損失只是帳面上的數字而已。然而,若是發生在「有價的資訊資產」上,那企業的損失可就無法估計了。舉例而言,企業研發的新產品資料若是遭竊或外洩,它的影響可能是企業的存活。若是國防機密的話,那問題可就更大了。
在過去一年當中,光是台灣地區就發生了大大小小數十件的資訊安全事件。大家比較耳熟能詳的,以及影響層面較廣的,包括:財金公司的提款卡資料及密碼遭竊事件、某銀行內部人員盜取客戶個人資料事件、某大學電腦系統遭入侵及侵入政府機關網路事件、離職員工離職前竊取公司建廠資料事件、離職員工心懷不滿破壞公司系統事件、某電信公司員工盜賣客戶資料等。這些事件有些只是對單一公司造成損失,有些則損及大眾的權益,而其損失金額則無法計算。
既然影響如此之大,那我們是不是應該善盡保護資訊「安全」的責任呢?所以資訊安全的目的,在了解企業本身對資訊安全的認知是否充足及完整,了解保護企業的資訊資產的重要性,避免遭受各種內部或外部的威脅,確保企業的永續經營,降低對企業的傷害,以及提昇企業投資報酬率及商機。因此,資訊安全不只是討論關於電腦系統的使用與相關控制而已,資訊安全是全面性的管理,包括工作環境、人員安全、教育訓練、電腦設備、軟體系統、安全政策等等。
三大功能 不可不知
而資訊安全的重點則包含了「資訊」及其使用的人員及支援的處理設備、系統、和網路的機密性、完整性、和可獲得性。
機密性(Confidentiality)
指的是在於保護敏感性資料,不會被任意散佈與未經授權之存取。例如:保護來自於業務以及客戶之稅務資料。保護智慧財產(程式原始碼)以及員工個人資料。
完整性(Integrity)
指的是在於確保資料之正確與品質。例如:確保稅務資料在送出之後不被變更。確保政府網站,不被未經授權之第三者竄改。
可獲得性(Availability) 指的是在於維護資料之可用與有效性。例如:確保中華民國國民都可以24小時存取政府相關網站與資源。
在建立資訊安全管理之前,企業必須清楚到底建置的目標是甚麼。簡單的說,資訊安全管理的目標,對內,是使企業具備資訊安全管理的能力,並建立資訊的「安全等級」資料管理制度。對外,則必須具備足以防範病毒及駭客入侵、系統在遭受攻擊破壞、或發生意外災害時,仍可維持正常運作的能力。
三大威脅 不可不防
資訊安全的主要威脅來自三大方面,技術面通常指的是運用電腦科技技術,達到入侵、竊取、或破壞的目的為主,例如病毒或駭客。環境面指的是意外災害等,例如地震,水災。以上兩個方面,我們都可以透過技術的運用或建置備援或復原計畫來達到保護資訊的目標。第三個方面則是資訊安全管理最為困難的一個層面,那就是「人」,或稱行為面。「人」是建置資訊安全管理的所有項目中,最複雜也是最難管理的一部分。但這並不代表資訊安全管理的目標無法達成,我們仍然可以透過教育訓練、管理機制、加上適當的電腦技術,來達到保護資訊資產的目的。
有了基本的資訊安全認知,企業或組織在建立資訊安全管理體系時,才能踏出成功的第一步。其他相關的成功因素則包括了高階管理階層的全力支持,提供足夠的資源,建立完整的導入實施計畫,並對各階層充分的溝通,讓全部的員工都能充分了解與參與。並且以商業導向為基礎,實施完整的風險評估與管理,建立完整的有價資訊資產資料庫,隨時檢視及調整。最後高階主管必須展現嚴謹貫徹執行的決心,輔以不定時的宣導及耳提面命,將資訊安全的觀念內化為所有員工工作流程的一部分,確保企業資訊的安全不論在任何時刻、任何場合,都會受到妥善的注意與照顧,而不是淪為口號,才是企業建置資訊安全管理的成功之道。
(本文作者為安侯業會計師事務所資訊風險管理服務組經理)
最新活動
2025.10.15
2025 金融資安發展論壇
2025.09.18
「密碼規範越嚴,反而更危險?」從稽核角度解讀帳號管理誤區與最佳實務
2025.09.23
漢昕科技X線上資安黑白講【零信任資安防線|FortiSIEM×FortiDLP打造全方位監控與資料防護】2025/9/23開講!
2025.09.24
資安攻防演練
2025.09.24
產品資安論壇:共築產品資安責任鏈
2025.09.25
面對勒索病毒威脅,資料遺失怎麼辦?3 招讓備份真的能用
2025.10.09
從駭客視角看社交工程:沒有演練,勒索病毒代價有多高?
2025.10.13
關鍵基礎設施-電力系統資安系列課程I(沙崙 X 成大太陽能系統)
2025.10.14
關鍵基礎設施-電力系統資安系列課程II(沙崙 X 成大饋線自動化系統)
2025.10.27
關鍵基礎設施-電力系統資安系列課程III(沙崙 X 成大 電驛系統)
2025.10.31
【雲端安全入門】CCSK 雲端安全知識證照培訓班
看更多活動
大家都在看
資安院發布「資安週報」 數據驅動台灣資安治理新模式
中國支持的新APT組織GhostRedirector,入侵全球Windows伺服器
Microsoft 推出 2025年9月 Patch Tuesday 每月例行更新修補包
AI驅動的惡意軟體攻擊「s1ngularity」已入侵2180個GitHub帳戶
中國駭客組織「鹽颱風」及UNC4841關聯的45個新惡意網域被揭露
資安人科技網
文章推薦
SonicWall 遭暴力破解攻擊 防火牆組態檔案外洩 籲用戶立即重設憑證
「資安雙認證」正夯!安永揭密SOC 2與ISO 27001企業必備資安評估標準
Palo Alto Networks 推出 Prisma Browser 防護高隱匿性威脅