觀點

化神奇為腐朽

2006 / 01 / 23
徐子文
化神奇為腐朽

在管理體系稽核標準而言,稽核人員只在乎系統設計和其管理方式及作業程序是否達到規定的標準,而不事先預設如何達成;對於用何種科技產品,也沒有偏好。 不可諱言的,品牌迷思還是會出現在稽核人員身上,特別是對安全設備上。但事實是,若是講單一功能產品,如某些軟、硬體產品,品牌型號確實相當程度的表現了相對的品質和功能,但是當多項產品要整合成為一個系統時,卻常常發現有「化神奇為腐朽」的現象。
花了大筆鈔票,使用一流品牌的安全產品,請知名廠商設計安裝。在錢沒少花的前提下,應該其品質和功能會超過預期。但有好幾次經驗,當筆者實際去稽核時,真的不相信如此的設計和施工品質,會是世界知名廠商的作品;安全系統裝的比自己動手裝家具或是延長線的品質還要糟。更不應該的是,不只工藝不佳,連基本的安全縱深概念都沒有。如:監視保護圍牆的CCTV管線是在圍牆外面,還是用PVC管,讓人不必翻牆,直接在外面一剪就斷訊啦!同樣的也發生在門禁系統上,門禁電子鎖的電源和控制器就在門外的天花板上,一把梯子,一把剪刀,輕易突破。金庫的門比牆壁厚,或是金庫的四牆一地都很牢,不過天花板卻可以相通。警報系統用得是電話線撥號來傳送警報訊號到外部的監控中心,但只有一門線。雖然部分的感測器和警報主機中有裝斷線警報,不過電話線若是先被剪斷,所有的訊號就都送不出去!老電影中壞人用一把剪刀和一隻扁鑽就可以破壞重重安全系統的情節,現在依然適用!
以上現象,一旦被筆者指出來,受稽單位真的是很難堪,以一個業主和使用者而言,他們已經花了足夠的經費,但是他們的廠商卻沒有提供應有的專業服務,幫他們設計和裝置一套適當的安全系統。試想,如用更低價和不專業的廠商會做出什麼品質出來。
前面的例子是實體安全系統部分,一樣可以適用於資訊安全系統上。多年前筆者實際在負責資訊安全時,就曾經詢問來裝機的工程師:系統的後門密碼是什麼?這老兄不假思索的就告訴了我,完全不當一回事。這後門密碼還是寫在程式裡面,固定的,不能改。讀到這兒,看倌大爺,不知您的背脊涼了沒有? 廠商在商言商,只需要滿足顧客的基本需求,好的廠商最多超越顧客期望多一點點。安全系統,不該是一堆安全產品的組合而已,重要的是能發揮什麼管理功能!要避免花冤枉錢,企業就要賦予安全主管足夠的權責,晉用專業的安全人員或是聘請獨立的安全顧問來對企業組織自身的安全管理和系統進行定義需求,遴選夠專業的廠商協同設計,然後執行監督及驗收的工作,如此才會有高品質和效益的安全系統呈現。