TSMC在競爭與分享的企業文化中推動資安秘訣一奧運比賽新項目:5項競技評比選出資安金牌,金牌得主部門可獲得董事長親筆簽名的棒球!1) 各部門自主資安能力提升:資安部門( P I P , P r op r i e t a r y Information Protection)僅訂定大原則,而各單位則需依照各自業務性質找 出可能弱點與問題,接著自己訂定執行目標與管理方式。例如常與外部廠 商接洽的部門特別加強對外管控;另外,還有部門訂出「違反資安政策者 照片將被張貼在公佈欄並處以愛心捐款!」的管理規定。2) 加入創新的點子:鼓勵同仁發揮創意,透過有趣的活動完成資安工作。 例如某部門模仿電影「無間道」的劇情,只要揭露防護漏洞就可得到重金 獎賞。其他創新還包括對於機台密碼變更自動化、對照像手機的查核、對 外部供應商的管控稽核方式等。3) 公司年度資安計畫執行與落實:為了鼓勵各部門對於一般性資安原則的 落實,因此將此項納入計分。例如公司訂定出文件標示分級的原則,落實 到各部門則檢視執行的成效。4) 鼓勵分享:各部門的資安管理創新提議可以提交到 PIP,經過PIP安理會 的審核通過即可得到BKM(Best Known Method)金幣計分,審核標準包括 該提議是否獲得其他部門採用等。5) 違反公司政策的比率:除了檢視對於公司通用規範的執行成效外,對於 違反公司政策的事件,也會進行各部門評分統計,例如桌面淨空的違規 率;或違反Email管理政策的事件比率等。秘訣二資安訓練教材Get Your Attention 一開始的教育訓練以新鮮有趣的教材吸引同仁注意,讓資安成為話題。例如:同仁化身為資安宣傳短片男主角,容易讓同仁留下深刻印象。第2年開始推動時則加強強制性,以線上學習的方式搭配題庫,並規定上至高階主管下至工廠作業員,每個人都要上課,且考試成績以100分為唯一標準。秘訣三創新的資安成熟度指標此項創意來自於CMMI(能力成熟度整合模型),PIP每年底依照各單位的資安績效評比,公佈5個等級:Level 1混亂,Level 2 遵守,Level 3 內化且自動自發,Level 4卓越圈(Pocket of Excellence),Level 5 持續PDCA的卓越境界。評比結果在副總層級的會議中提報,因此形成各單位不小的同儕壓力,落後部門的副總便會直接要求配合執行,甚至有放牛班變成第1名的例子。秘訣三創新的資安成熟度指標 此項創意來自於CMMI(能力成熟度整合模型),PIP每年底依照各單位的資安績效評比,公佈5個等級:Level 1混亂,Level 2 遵守,Level 3 內化且自動自發,Level 4卓越圈(Pocket of Excellence),Level 5 持續PDCA的卓越境界。評比結果在副總層級的會議中提報,因此形成各單位不小的同儕壓力,落後部門的副總便會直接要求配合執行,甚至有放牛班變成第1名的例子。
資安人科技網