高科技如何真正有效管控IT及智慧財產權

進入微利時代，台灣的製造業以高附加價值的方向為發展，企業內的研發部門或行銷策略成為市場重要的競爭優勢，也是目前台灣高科技業急於建立資訊安全管理的原因。前陣子媒體報導許多資訊安全管理方面的報導。如某企業告發網站上的驅動程式原始碼被抄襲、離職員工將公司的資料帶到大陸去、手機代工業之研發人員跳槽，將企業研發資料帶走等。由於台灣長期忽略風險的控管，忽視研發資產的保護，且目前競爭廠商增加，大部分採用以價制量的策略，因此，研發資產成為企業重要的競爭優勢。 以資訊安全管理而言，通過BS7799驗證不該僅淪為形式，今有部分企業將研發資產及客戶營運資料的保護視為關鍵的競爭要素，台灣在ISMS上的耕耘晚於世界先進國家，像日本高科技公司大都會要求所有代工廠商也必須通過ISMS認證，以確保製作的技術不會外流。因此，高科技業導入BS7799已經是整個供應鍊中必然的趨勢，但應該要如何保護研發的重要資產呢？以下分析高科技所面臨的威脅，了解資訊安全管理的元素後，再建議該如何做。
在全球工業的浪潮下 研發資訊分散各地
首先，研發資產與地點及使用人數密切相關，大部分科技公司研發資產的產出分散世界各地，以國內製造手機的廠商為例，手機科技的研發在韓國，製造在大陸，印度製作驅動程式等，這些資訊24小時在不同的地點產生，全球工業浪潮下，研發資訊的傳遞可透過E-Mail、FTP、MSN或可直接連結總公司網路，以便資訊的快速交換，相對地，企業所面臨的風險也相對提高，所以高科技公司面臨的不但是確保客戶資料的安全性外，還必須向客戶保證資料不會外洩；其次，客戶經由詢價透過逆向工程將研發資料反推出來，也會造成資料外流的危機。另外，由於製作的地點不同，且過程中有很多的協力廠商加入，對高科技廠商也造成威脅。或者為了壓縮時間，研發地點多元化，可能在家或網咖等場所，都可能造成資訊的不安全，那麼高科技公司應該要如何管理呢？是另外一項很大的挑戰。

資訊安全管理政策鬆散
研發過程中，需要測試工具、設計工具、軟體驅動程式及壓力工具等，為了整合設計、製造和管理過程是順暢的，透過網路有效的整合在一起，但是高科技公司所面臨的威脅是RD部門的資訊管理與IT部門並不一定有密切關係，IT部門所擬定的資訊安全管理政策對RD部門而言，並不適用，IT部門管理不到研發部門產出的文件及使用的工具，然而，RD部門也無管理的意識，使得資訊安全管理鬆散。

研發文件並無適當管理
RD人員對研發資產應有管理及保護智財權的義務，但往往忽略利用法律來保護 研發的智財權，是資訊安全管理中非常重要的一環；然而，目前出現的情形是RD部門對研發資產的控管水準未符合客戶的要求，造成企業的另一項危機。 然而，大部分公司認為研發的資料滿山滿谷，企業必須花費多少資源、成本去管理呢？然而，西方國家將資訊安全視為風險管理的一環，將其做到可承受的風險，使其研發資產不被揭露、不違反法律及客戶權益。首先將研發的資產加以分類，再由研發部門來管理，由於研發一項專案時，所產出的資料很多，且每個部分都有專有部門負責，當跨領域作業發生時，也難以判斷哪些研發資產文件是該有誰負責，容易被當作一般資料處理。

使用者角色的權限劃分不一
很多企業的IT部門也反應，每當有工程師將機密資料帶走，或使用E-Mail傳輸出去，公司都會責怪IT部門，IT部門只負責機器是否正常運作，並未包括配合工具及ERP系統，因此，企業通常將資訊安全架構在IT部門下，其也面臨很大的挑戰，企業IT部門在面對資訊安全管理時，也面臨到很大的衝擊，首先是責任和權限不一致，其中由於研發環境的複雜導致不易管控，然而，RD部門使用研發工具、文件，但卻沒有管理及保護這些工具及文件的意識，且通常RD的權限鑑別、研發流程與資源應用系統並未密切結合，也無法有效控管。

資訊安全管理之關鍵要素
由於研發的環境變複雜，所以，需要一個整合性的方式來解決，必先了解構成要素有哪些？需要做什麼管理？針對構成要素做管理，才可能解決問題所在，再使用科技管理手法，將安控機制與現代科技做結合，由一套政策、程序、流程來管理，必須與研發流程緊密配合，當職務或部門變遷時，其安全政策也隨著改變，將以下研發資訊安全管理劃分為下列5個要素：

人是最大的要素
首先，資訊安全在於「人」，「人」是最大的要素，在高科技機密保護的核心在研發部門，但要完成整個研發作業不只在研發部門，前後有許多其它部門支援；因此，在人的要素中，存在的威脅為侵犯智財權，如企業內的員工被挖角，應避免將研發資料外洩，再者為商業間諜的惡意破壞，必須力求研發資料的完整及正確性，可利用法律來管制，包含人員授權、職務侵權及競業條款(規範跳槽員工不可到企業競爭的對手，從事相同的工作事項，但不可違反人身自由)、保密協定義務、E-Mail監控、營業祕密法（在研發過程至取得專利時，為了保護研發資產，也可利用此保護）等，在著作權方面的相關法令有商標法（主要是設計標章）、專利法及著作權法等；最後，在授權部分，擬定使用權限，加以管制，留下稽核資料，倘若出現資安事件才可追根究底的。

保護研發敏感資料
編列研發敏感資料清單必先從專案背景、人員技術、研發流程、專案權限、產品構成、專案會議記錄、程式原始碼、測試結果、系統原始碼、設計圖檔等資料，將依其機密性的等級分類，再決定資料的授權使用，且將企業內部人員、客戶之使用權限及遠端使用權限都應適當規劃。 再者，整個研發的過程中會與不同廠商合作，使用到不同系統、平台，其要管理的範疇很大，必須分階段逐步列管，另外，在應用資料及實體安全的管理部份，研發部門的未攜式儲存設備及可攜式儲存設備必須與一般部門控管有不同的策略。 另外，資料使用必須做權限劃分，規定檔案只能放在什麼目錄下，誰擁有權限可使用，倘若出現異常的使用者就發出警告給管理員，並紀錄所有的使用資料，其次，研發流程中所產生的文件檔案必須具有新增、修改、刪除、傳遞之權限管理，及保留Log之分析，且需有備份、復原文件功能，到最後的文件銷毀，這整個過程需要有明確一致的標準程序，來證明研發過程的安全性及完整性。

系統必須串聯研發作業流程
研發流程包含主流程及子流程，主流程方面有研發的核心策略、產品規格、產品設計及修改策略（含版本管理及圖文管理）、稽核，其次為支援部門的採購策略也應被保護，都屬營運機密流程面的保護；然而，研發執行系統，即資訊環境控管（程式取得、系統安全、IT控管及人員控管等）為標準IT環境的管理，可參考同業廠商取得經驗，但令人憂心的是大部份廠商只重視系統的安全，而未結合研發作業流程。

利用技術把關
IT部門明訂企業內部資訊安全的政策，研發部門講求是創意、研發、不受束縛，依循以上的方法，才可貫徹實施，資訊安全管理要徹底實施需要有好的政策及策略，其次，是權限的佈署，包含安全程序及文件，再者使用現代的技術協助管理，包含加密技術、PKI、防火牆等；資料生命周期工具，即文件產出、修改、刪除到銷毀過程，給予權限的適當保護，此可利用DRM工具來協助管理，但目前使用上並不很普遍。

由策略性落實資安管理
由策略性落實資安管理 以上要素則是決定企業該從何著手及將安全等級做到什麼程度的指標，由於研發已不受地域之局限，資訊安全管理要達到什麼程度，都必須從要素開始著手，決定要做到什麼程度，控管是否可以徹底落實及必須在何時達成等都會遷涉到需要動員多少人力資源及時間，導入手法包含人員面、技術面和流程面，在高科技公司OEM的研發部門，製作過程中會使用到軟體及硬體，部份是IT部門可以管理的，然而圖檔管理工具、開發工具及模擬工具等則不是IT部門可管理的，在策略性管理應著手於教育訓練或制定管理方法，以增加知識管理及安全意識的提升。

結語
資訊安全管理必須由政策面、程序面、技術面、稽核面、應用資料、系統平台、實體安全及網路等面向來管理，另外，研發部門的網路安置也與一般不同，其會與上游供應商、合作廠商連結，必須依安全等級不同劃分不同區域，研發的網路連結更需要獨立出來，以上的方法可保護高科技公司研發資產，除了系統、技術、人員組織及流程之外，必須有導入的先後順序，不是直接先購買解決方案，建議將購買解決方案放在最後第二階段，必須召開RD與IT人員會議，建立資安共識，在組織中設立專門組織來推動，由其制定政策，再決定AP、網路、資料及OS系統的管理原則，加上實體控管，訂定違反處罰規則，再導入工具做監控，以便稽核，若沒有稽核程序，安全水準會下降，倘若以上程序都做到了，就可達到一定的安全水準。