觀念大補帖 企業治痛丹

既然沒有百分之百的安全，如何擬訂預防措施及加強風險管理就益形重要，而不是頭痛醫頭；腳痛醫腳。以下是我們觀察企業內部最常出現的資安問題，在問題浮現的同時，我們也提供學者專家的建議及看法，期待這帖紙上大補帖能成為企業升級的萬靈丹。
觀念有偏差 企業建置防護系統前宜三思
觀念不足、偏差是企業最大的資安盲點，老闆們通常是資安門外漢，知道資安防護的重要性但不知從何著手防護；聘請MIS及IT人員，卻不知如何管理與查核，所以造成企業內部資安觀念普遍不足，甚至產生認知偏差的情形。

企業建置資安防護系統，其實必須要有步驟和程序，資通學會理事長賴溪松教授指出，風險評估可說企業做好資安防護的第一步，接著才能訂定資安政策、進行系統及設備維護、相關人員教育訓練，最後是定期檢核。賴溪松教授認為，企業主如果能按部就班建置資安防護網，不但可以省錢省事，還可以事半功倍。然而，任何有用的安全防護系統都必須能擴大企業內部的防禦能力，成為保護企業資產及操作使用者的安全方案，有許多解 決方案必須透過採購硬體設備來完成，不過採購產品只是治標的方法；如果要根本解決問題，還是要透過教育使用者，在平時就確實的做好防護工作，養成良好的互動模式。

所謂「家賊難防」，人的因素是安全防護體系中最難以掌控。即便企業安裝完善的設備，但是如果沒有一套控管制度或標準作業流程，再精良的配備都派不上用場。近來常見離職資訊部門主管挾怨報復，讓企業損失慘重，這些現象凸顯企業內部安全控管漏洞百出。「MIS及安全部門人員只要有人離職，一定立即變更密碼以策安全。」Seednet產品部協理洪欽滿指出，Seednet在內部安全控管上從教訓中學到許多經驗，從補救資安事件到學會資安預防，Seednet不斷從經驗汲取防範之道，現在資安已成為Seednet員工工作的一部分，每個部門都有一套標準作業規範，遇到問題按表操作，儘可能把客戶及公司損失降到最低。針對資訊部門人員挾怨報復的事件層出不窮，洪欽滿不以為然表示，「離職資訊部門主管，如果做出蓄意毀損公司重要檔案資料行徑，等於在自斷後路，這輩子就玩完了! 」 「要做好資安，不單只是買一些防火牆及其他軟體硬體而已，回歸最基本的問題，是如何做好內部人員的控管及資安的管理系統。」安侯會計師事務所副總經理陳瑞祥提出專業見解。徐子文認同資安管理最大風險在人的管理，企業內管制很困難，不管政策寫得再好，無法去落實還是沒有用，落實資安政策是靠全體員工。 人的問題解決後，還有錢的問題；許多企業資安預算少之又少，甚至根本沒有預算額度，只有在發生入侵或中毒事件後，買些相關產品及設備以求心安。賴溪松教授提出資安成本的速算公式：資安成本＝事故發生機率×事故發生的損失＋改善政策成本；可見資安事件發生愈頻繁，企業要付出的成本就愈高。「安全一定要付出成本，但不是無限上綱，必需在合理的範圍內。」台北市政府資訊中心主任張俊鴻進一步表示，合理範圍應該在資訊預算的３％至５％左右。

相較於民間企業，政府公營機關資安預算就寬裕多了，尤其政府積極朝全面電子化邁進，公文往來、政令發布、民意反映……等都得靠電腦傳遞。相對地，花在資安設備上的費用也比較高，每年都有一定比例的預算更新或增添設備。但是政府體系中資安人才有限，有些具有決策權者並不懂資安，所以經常發現買了一堆機器，卻無法有效防範病毒或駭客入侵，只能依賴設備廠商或委外服務公司的支援。

以往一般企業在沒發生資安事件前，通常不會想到建置資安設備，不過，受到一連串重大資安事件發生的影響，企業主已漸有資安概念，但是有些還是礙於經費有限，只能睜隻眼閉隻眼。對於安全性需求度高的行業，例如金融、電信、高科技等公司，資安防護是必備的，不但有先進設備，對人的控管更是嚴格。

效益需評估 量身打造符合自家規模設備
企業主在評估建置資安設備及採購設備，一定要為自己企業量身打造，多大規模就買多少設備，投資前必須費心做效益評估，才不會買到一堆派不上用場的機器。企業要自己建置資安設備還是委外服務呢?企業主可從專家或專業人員，提出的「風險分析評估表」中清楚明白企業所面臨的威脅與所導致的相對風險衝擊，尤其是量化的金額數字，然後讓睿智的企業主或者總經理決定如何投資，不但可以從「風險分析評估表」中相對的「對策效益」欄位中讓企業了解MIS對公司與企業的貢獻與績效，而非僅是花錢單位，讓公司的每一份錢都發揮最高的投資效益。

「沒有發生事情前沒有損失額度，很難去估算需要投資多少比例的金額；但是至少投入金額要比照投保險的額度，甚至可以高一點；不同屬性公司的安全政策，會有不同投資規模，看公司對安全需求度及損失容忍度。」安全專家徐子文對合理投資額度評估下了簡單的定義。

鈺松國際業務行銷處協理林大森指出，「在選擇安全產品時，不能用價格和佔有率為最主要的考量因素，後續的教育、服務更為重要。」尤其企業主在評估採購資安設備，一定要先為自己企業量身訂作，零壹科技網路事業群行銷副理劉東洋建議中小企業以網路閘道(Gateway)、防毒、防火牆(Firewall)三合一產品為主，大企業則加上入侵偵測(IDS)四合一，機密性高行業及機關則可再加PKI等高階產品。近來廠商紛紛推出整合性或配套性產品，強調買一次就可全部解決企業資安問題，這中間業者多少有唱高調之嫌，因為資安是漸進式的不是一次就可以完全解決。

企業在評估投資效益時，還有一件不能忽視的要素，就是後續的維修與服務，用人的問題恐怕比花錢的問題還要來得謹慎。

專業性不足 技術能力與設備養護有問題
一般企業對資安定義認知有問題，員工對資訊安全內容也有很大誤解，以為資訊安全就是電腦安全，其實資安層面向很廣；釐清定義後才能訂安全策略、建置時間表、教育訓練及最重要的標準作業規範。資安專業知識的傳遞和不斷重覆相關資訊，已成為企業防護系統中不可或缺的一環。

「教育市場，刻不容緩。」CA(組合國際)大中華區市場總監尹婉智，講出許多廠商共同心聲。尹婉智表示，安全管理市場快速成長，凸顯先進科技需求性及相關資訊教育的必要性；想建立一個高可靠性且完整的資訊安全，人才的培育和知識的傳遞是勢在必行。勤業會計師事務所萬幼筠協理就指出，「有些企業用戶不但不知道要買什麼產品或服務，甚至連問題都不知道怎麼去陳述。」

Seednet在這方面的可說是訓練有術，自東科大火教訓和內部大大小小的資安事件後，Seednet相當重視安全教育課題，不論大小災害都訂有危機處理守則，員工必須嚴守規範。Seednet產品事業部協理洪欽滿指出，「 Seednet今年將導入ISO17799標準，未來會成立資安委員會，來因應變化多端的資安事件與問題，至於資安人員都是公司內部資深員工，經過層層篩選，在安全防護上有嚴密的內控機制。」Seednet資訊部協理莊士城進一步談到資安委員會的編組，將由Seednet總經理程嘉君領軍，集結工程部協理、資訊部協理、營運處代表、事業部代表、客服總部協理等為主要成員，負責資安政策的擬訂與控管，按各部門已訂定的標準作業規範來演練。 　

徐子文也舉遠傳電信設企業安全委員會為例，由五大事業部派安全代表參加，負責擬訂預防(fore)措施，各部門都必需加入防範體系，凸顯遠傳重視資安及全體員工都必須建立安全觀念的理念。 「許多企業資安政策沒人可管，不但不做整體架構規劃，主管對資安更有認知不清的問題。」普華資安總經理包化富點出企業對資安專業能力欠缺的通病。

人才那裡找 內行人請不起培訓管道狹隘
安全管理有三要素，人、機制、科技。人為重點，藉機制運作，以科技協助達成安全管理政策。公司文化會牽動安全政策，所以任何規定都必須視員工反應，也要靠員工才能達成。資安受到重視後，業界都有人才不足的問題，不論供應端或是使用端都對培育專才傷透腦筋。

「雖然管理系統市場需求量大，但目前五大顧問公司中具有相關技術背景及經驗的人並不多。」就連在顧問市場頗負盛名的安候建業會計師事務所陳瑞祥副總經理，都不得不要感概人才難找!精誠網路軟體技術處長黃政杰也有同感，「MIS及IT人員對資安管理及應變能力不足，企業主陷兩難局面。」 賴溪松教授指出，國外大公司有安全處的設置，從基礎安全教育著手，有系統的把資訊傳授給員工，並且負責所有相關資安工作，整合企業資源。國內資安人才培訓只有大學才有相關科系(資訊系、資管系)，許多最新資訊及相關技術都要向外國求教，國內的資訊教育體系有必要往下札根，或與民間企業合作，進行人才培養及後續教育訓練。

「歐洲大學中很多與資安有關的科系，連電腦法醫都能成為一門專門的學問!」原形研發公司陳嗣添舉國外的例子說明資安人才培育的必要性，他對國內很多企業主採取限制理論，不讓員工有在職訓練的機會，甚至限制員工汲取相關資訊，產生員工對企業沒有認同感及低成就感。陳嗣添強調企業資安管理要從人心做起，留住專業人才，才能有未來。

缺主管機關 採購得睜大眼睛謹慎選產品
賴溪松教授道破國內企業主青睞外國產品的心態，「買保障當然要選大品牌，不然萬一出狀況，後續維修理賠要找誰? 」政府機關的採購者當然也會以大廠出品為首要目標，以防出問題時責任追究和理賠問題。

資訊產業國內沒有中央主管機關，行政院國家資通會報也僅是任務性編組，加上認證制度並沒有強制性，民眾可自行採購產品，造成所謂大則恆大的情形，這個現象短期內改善的空間有限。不過，賴溪松教授也樂觀的認為，國內有關單位已注意到這個現象，相信不久就會協調出專責主管機關，未來層級若能適度提升，對資安的發展是一劑強心針。部分廠商也反映國內未設置國家級的資訊安全研究中心或機構，對接踵而來的病毒及駭客入侵，業者只能各憑本事嚴陣以待。 針對學界與業者的建言，研考會資訊處副處長何全德認為，未來將成立的國家通訊傳播委員會(NCC，將由毛治國統籌規劃，為獨立委員會不受立法院監督。)應可以解決這個問題。據了解，設立超部會的委員會來整合資訊、傳播、通訊等領域，已經醞釀八年了，如今又見曙光，當初曾參與協調會議的學者專家都樂觀其成，也期待國家通訊傳播委員會成立，可以為資訊產業增加更多後援及服務。 經濟部中央標準檢驗局負責國內資安相關產品標準制訂及認證、驗證，目前標準局已根據22項ISO或先進國家的標準，制訂屬於我們的國家標準(CNS)，例如資訊安全管理系統CNS17799及CNS17800都在去年底前公布，並正進行驗證工作。多項資安產品的國家標準也完成制訂，標準局今年將持續辦理六項國家標準的制定，標準局認為一項標準制定，到認證、驗證等程序是必需結合產、官、學、研的力量才能完成，所以架構嚴密資安防護網的「標準動作」就是廠商按國家標準去做、民眾慎選有國家標準認證、驗證的產品。 投保壽險、產險有財政部的監督，保險公司必須依法行事，依合約進行理賠。反觀資安數位保單，在認證及驗證非強制性的機制下，業者推出的配套方案，是不是可以買得安心，用得放心，消費者就得要自求多福了!

服務糾紛多 業務員過度承諾無法律保障
國外大廠蜂擁來台尋求策略聯盟夥伴，國內代理商不但要靠口才推銷產品，還得比服務品質，加值性服務也就因運而生，而且市場成長更大也更快，英普達總經理劉元璋持相同看法，他認為加值性服務產品比重會逐年加重，資策會資安產業研究員王凱也認為，未來服務市場會比產品市場成長更快速。可見除了技術外，客戶還要更多的售後服務。

法令的規範未如預期，消費者保護法源薄弱，所以消費糾紛時有所聞，加上很難釐清是操作疏失還是產品本身有瑕疵，造成消費者常以花錢消災的心態收場。為加強消費者的自我保護意識，建議消費者可以先查閱相關法令，簽訂採購條約時審慎核對售後服務事項及損壞賠償事宜，萬一發生糾紛，也可以透過消基會申訴管道。

綜觀上述觀念有偏差、效益需評估、專業性不足、人才難尋找、無專責機關、服務糾紛多等都是現今資安市場面臨的大問題，我們提供專家學者及廠商的寶貴建言，期待能給廣大資安人一個正確且完整的觀念。