觀點

為企業資安把脈 文件管理篇

2009 / 09 / 11
王婉伶
為企業資安把脈 文件管理篇
  文件不可否認的是企業的核心,流程中最重要的資產累積。以前尚未電子化時,文件只需要好好的鎖進保險庫中,便能確保其安全無虞,當需要時再從成堆的陳年資料翻箱倒櫃搜尋出來。現在所有的文件都已電子化處理,要如何做好保存、管理變成一項深具挑戰的課題,如何管理?如何保存?什麼人可以查閱?都是公司機敏資料安全的關鍵。

  舉凡高科技產業、政府單位、金融單位等,對於文件管理非常的重視,然解決的方案繁多,卻不見得都能完全合適!如何對症下藥,必須先了解企業內部所面臨的最大問題!我們列舉了使用者常遭遇的四大徵兆,您可以自我檢視一番並打上分數!好幫助了解目前最迫切需要的藥方為何?企業需求現場透過《資安人》所發起的「企業資安解決方案問卷調查」,讓我們看看企業用戶在實際上遭遇的問題,問卷題目包括:「企業內部文件管理的安全議題上,最讓貴單位最頭痛的地方」、「成功推動文件安全管理最關鍵的因素」、「如何解決現階段文件管理的問題」、「文件管理需求採購的優先順序」等,直擊企業用戶的文件管理需求面。

問卷調查顯示

1. 企業對於「文件管理」最頭痛的地方在於「使用者習慣難以建立」、「無合適方案」佔多數,但是「整合上有困難」、「無法完全解決問題」亦不在少數,從這一點看出,企業雖然已經採用文件管理方案,但是在教育用戶建立習慣上仍需加把勁,而尋找適合方案時,會先從獲得高層支持、建立導入計畫與教育訓練著手。

2. 成功推動文件安全管理最關鍵的因素,最重要的還是高層支持,其次為產品功能,而導入計畫及教育訓練同樣排在第三順位。用戶認為文件安全管理產品在功能上如果能夠符合需求,讓使用者用得習慣,而且可以幫助員工增加工作效率,才是能夠成功推行的關鍵。

3. 備份稽核、文件稽核同為採購優先項目,兩者均為稽核上的需求,反而是文件保存與權限控管上的採購順位較低,主要原因是企業如果已經建置文件管理系統,通常在文件保存、權限控管上已經可以符合基本需求,因此會著重於後續產生的稽核問題上。

診斷書

徵兆一

文件管理是否等同於使用者反彈:當資訊部門大力鼓吹文件安全管理、權限管理之時,背後漸漸升起一股怨氣,使用者開始質疑這樣作會使她們工作效率降低(寧可放棄不使用MSN,也不願意工作上多一層的麻煩),甚至會結社起來共同對抗資訊部門。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆二

整合出問題,橫跨不同系統文件管理方式亦不同。不同時期導入的AD服務、身分識別與權限管理系統,無法為文件安全管理加分,導致電子文件檔案散落各處,有需要存取的人沒權限存取,也找不到真正該用的資料。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆三

數位化文件安全管理滴水不漏,紙本文件、實體影印機成為最大漏洞。以往實體文件是資料外洩的主要管道,大部分的資訊科技管理員都忽視了這一點。公司的印表機、影印機與多功能事務機成為不肖員工印出只能在電腦上看的文件(screen hard copy)。文件安全管理出現裂縫!
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

徵兆四

曾經被駭客入侵,文件通通打包外帶。加上了內容過濾及加強網路連線控管的安全設備仍無法保證文件不會被偷出。
分 數  無(0分) 有,輕微(1分) 有,嚴重(2分) 有,很嚴重(3分)

望聞問切

8-12分 病入膏肓


該看醫生了,重新檢視文件管理的目的、方法,並且與公司管理人溝通問題所在。

4-7分 需要調養身體

基本體質不錯,但偶而會有點小感冒。找出比較嚴重部分,針對這一點去改善,例如:整合出問題,就必須考慮要沿用目前架構?還是重新規劃、補強。

1-3分 MIS經理換人當都沒關係

先天體質加上後天營養好,基本上只要用心維運、紮實做好稽核、檢驗的工作就沒問題。

處方籤

  保護機敏資料與使用上的方便性是IT部門天天都在尋求的一個平衡點。尤其是與USER天天工作相關的文件管理,更是千夫所指、萬夫所視的焦點工作項目。就「文件管理」整體的趨勢來看,保護標的內容是沒有太大的變化,主要還是文件本身,包含各種圖檔、文案、統計資訊,均為企業文件管理要保護的目標。而在應用方面,會朝向智慧財產權、數位版權管理持續前進,在文件流傳的介面上,則以網頁、網路芳鄰等強化權限控管與存取記錄功能。

  文件管理解決方案勢必要把「建立使用者習慣」的配套方案,獨立或包含在功能設計上,才能解決企業推動文件管理上的障礙與阻力。教育訓練是最基本的方式,從中讓使用者知道文件管理可以對他們的工作產生哪些效益與好處,才能夠使專案推行更加順利。

  企業經常遇到存取權限常出問題,衍生出文件稽核管理失效,必須從資料分級、身分識別管理等藥引著手,透過政策落實讓員工知道該如何按照程序來走,才能夠讓文件管理系統長久地生存下去。至於尚未導入,但有心採用文件管理方案的企業,可以先尋求顧問協助診斷企業需求,再評估相關方案。


藥引(相關產品/方案)

  在中醫的理論當中, 經過了望、聞、問、切的診斷之後,中醫師在開立藥方之時,總不會忘了加上「藥引」以求能加強藥方的功效。因此文件管理如果是廠商的藥方,需配合上何種藥引才能將藥方的效用完全的發揮呢?

身分識別與權限管理

  身分識別(Identity)為企業裡人員、群組、資源(電腦、印表機)等, 進入應用系統之前必須先提出身分識別,再透過身分鑑別機制獲取系統的通行權限。身分識別管理的定義為企業在適當的時間、提供適當的人存取組織、流程及適當的資源。有以下四個重要的機制:企業目錄服務、身分鑑別(Autentication)、授權(Authorization )、 與存取控制(Access Control)。

僅知 (Need To Know)與最小權限原則

  對一個系統管理者來說,對於普通的使用者以能滿足其操作需求所需的最小權限來運作程式,對於系統會避免掉很多不必要的麻煩。相對於企業而言,員工只要能夠獲得完成工作最低的權限即可,在職務上有必要才去存取相關文把「建立使用者習慣」的配套方案,獨立或包含在功能設計上,才能解決企業推動文件管理上的障礙與阻力。件及資訊。

文件生命週期管理

  顧名思義,即將文件妥善的保存起來,並做好完整的備份,確保文件的完整性及安全性。包含文件從產生、運用、變更到最後歸檔儲存、調閱等階段,是文件管理上層更大的管理架構,對於大型企業而言,是延續企業競爭力與領域知識累積的必要方案。