觀點

第一屆《資安貢獻獎》-得主心得分享 part 2

2009 / 01 / 23
iseditor
第一屆《資安貢獻獎》-得主心得分享 part 2

繼《資安人》58期分享了部份第一屆貢獻獎得主得獎心得後,我們將為您報導其餘3位得主,在獲獎後對他們的明顯改變。

檔案管理局
檔案資訊組副組長張文熙:「做資安是應盡的份內工作,不會為了參賽才去推動。

我們並未因榮獲資安貢獻獎,而對資安工作推動的內容及方式,有明顯影響及差異。由於資安推動必須持續改善,將規定調整於合理,兼顧安全與方便性;有鑑於此,我們全體同仁一致認為推動資安並非為了得獎,而是將資安工作視為應盡的本份,因此也就不會因任何外在因素而讓資安工作成為第2順位。然而,得獎後較顯著的變化是,現在很多公家機關若要進行相關資訊安全的推動,會先前來參考我們過去的作業模式,像是如何推動、會遭遇什麼困難等,無形中增加了我們良好聲譽;同時,這對檔案管理局內部的員工亦是種莫大鼓舞,我們也會加強對從事資安相關人員,適時加以考核並給予獎勵。
值得一提的是,每年檔案管理局都會舉辦「金檔獎」,針對全國各機關內的檔案管理績效進行評比;檔案資訊化也是評比基準的一部分,除了檔案資訊系統功能的完整性外,檔案資訊安全作業都是相當重要的一環,我們認為資訊安全是發展本局核心業務資訊化推動
的基本條件。
資安工作沒有喘息的時刻,面對不斷推陳出新的入侵手法及工具,對我們而言,最
大的挑戰就是要持續地灌輸同仁正確的資安觀念,加強管理制度。再來,要有個安全的IT環境,軟硬體投資不可或缺,但資安相關投資往往無法得到立即的顯著成效,面臨全球大環境不景氣,要如何將錢花在能獲得最大效益的投資上,考驗著檔案管理局的IT人員。

關貿網路
關貿網路總經理陳振楠:「得獎後,加深了客戶對我們的信賴感,內部同仁也更願意投入資源施行資安工作。」
由於我們本身從事資安服務,對資安的要求已有一定標準,為了提升國內整體資安水準,日前參與中小企業診斷服務的活動,提供6家企業免費資安健檢服務;在過程中發現,許多企業雖了解資安的重要性,卻不知從何著手及找尋哪些廠商的協助,在獲得資安貢獻獎後,企業提高了對我們的信賴與接受度,更願意尋求適當的解決方案;而對內部亦然,公司內部主管與同仁對於資訊安全工作更加重視,願意以更多資源投入資安,加深了我們「要有好服務,不能愧對客戶」的想法,以符合資安貢獻獎形象。
現行資安所面臨的挑戰在於資安工作是整體面的,我想,資安人才缺乏,是許多企業都曾遭遇的,一個完善的資安團體必須包含網路、作業系統、硬體發展等,但這是不同領域,如何將專業人才整合,是項困難議題,我們除了積極與資安研發團隊的接觸,也加強與學校單位合作,從學校教育開始培育人才,希冀學校能成為企業的人才庫,共同強化團隊實力。再者,近年資安市場萎縮,據我們了解,許多企業為了留住客戶,也想要提升資安水準來符合客戶的期望。但是,面對景氣寒冬,企業客戶對資訊安全的投資,恐怕將更加保守。 然而資安事件造成的威脅與日俱增,不斷影響個人及企業的權益,資安工作對企業而言,是必要亦或是加分項目?值得企業高層深省。

臺北縣政府
臺北縣政府研考會組長:「資安貢獻獎讓我們日後在預算爭取上,更能獲得上級的支持與認同。」
資安工作外顯效果不易見,長官無從得知其成效如何,然而,資安貢獻獎後,卻能產生相當具體的政策及績效說服效果。過去我們雖曾多次獲得行政院人事行政局所舉辦各種資訊應用評奬之肯定,然而在國內除了「資訊貢獻奬」外,似乎尚未設立其他以資訊安全為主題獎項,尤其這是由民間企業所舉辦的活動,其評比對象涵蓋各種資訊層面,能夠得到這份殊榮,對於政府機關的資訊工作者而言,就是對資安工作的最高肯定,其榮耀感更甚於上級機關所頒給的獎項,對於我們資訊室同仁而言是相當正面的鼓勵,不管是績效考核或是資安預算的申請,都較易得到長官的支持。而對外,我們也多以此作為外部宣傳的素材,當作成功案例,以藉此展現良好績效。
資安是個永無止境的投資,要不斷爭取預算以強化IT防禦架構,將安全等級提升,因此,「預算」的規劃及爭取是現階段重要的挑戰。另一問題是IT架構的不完整;由於IT人員有限,但資安防禦卻又不可少,委外作業遂成為從事IT工作的新選擇,然而,「委外」卻也暗藏許多資安風險,一般企業或政府單位多將經費投資在防火牆、入侵偵測系統等設備,但對於系統開發的基本工作,卻無完善安全配套措施,導致後端問題千瘡百孔。終端使用人員不正確的資安觀念亦是一大問題,很多資安事件的發生不在系統出錯,而是來自於用戶端的使用習慣,使用者對於電腦使用越趨廣泛,卻也衍生許多威脅,太多人為的不安全因素,遠超於IT設備及網路能防護的範圍,我們雖苦口婆心一再灌輸同仁正確資安觀念,但難免會有不足之處,未來我們將會更加強體制的健全,持續提升、鞏固同仁的觀念。