資訊安全,過去一般人談到這個議題的時候,首先想到的就是和『電腦』有關的事或物,例如駭客、病毒、電子郵件炸彈、網際網路入侵等等。通常企業主管一聽到『資訊』這兩個字,首先想到的就是資訊單位。但是這只是最基本、狹隘的認知而已。藉著本專欄,我們要跟大家一起來建立正確以及完整的資訊安全觀念。
資產保護 馬虎不得
在深入了解資訊安全之前,首先要先了解『資訊』的定義,到底『資訊』是甚麼?想想看,在日常的工作中,從早到晚,您所經手或處理的資訊有多少。您的辦公桌上放置了多少與公司經營相關的紙張(想想看紙張上列印了多少資訊)? 貴公司有多少回收紙(如果有的話)再列印後流傳到公司以外的地方?您的通信內容(包括電子郵件、電話、和網際網路)是否包含公司經營的機密資訊?這些『資訊』如果流落到您的競爭對手手上,對貴公司的營運是否會造成影響?從以上的幾個例子,我們可以了解,所謂的『資訊』指的是:它存在於任何形式,不論是有形或無形的,對企業的永續經營會造成損害或損失的『有價資訊資產』。
當損害發生時,在財務帳冊上登錄管理的資產,對企業的損失只是帳面上的數字而已。然而,若是發生在『有價的資訊資產』上,那企業的損失可就無法估計了。舉例而言,企業研發的新產品資料若是遭竊或外洩,它的影響可能是企業的存活。若是國防機密的話,那問題可就更大了。
在過去一年當中,光是台灣地區就發生了大大小小數十件的資訊安全事件。大家比較耳熟能詳的,以及影響層面較廣的,包括:財金公司的提款卡資料及密碼遭竊事件、某銀行內部人員盜取客戶個人資料事件、某大學電腦系統遭入侵及侵入政府機關網路事件、離職員工離職前竊取公司建廠資料事件、離職員工心懷不滿破壞公司系統事件、某電信公司員工盜賣客戶資料等。這些事件有些只是對單一公司造成損失,有些則損及大眾的權益,而其損失金額則無法計算。
既然影響如此之大,那我們是不是應該善盡保護資訊『安全』的責任呢?所以資訊安全的目的,在了解企業本身對資訊安全的認知是否充足及完整,了解保護企業的資訊資產的重要性,避免遭受各種內部或外部的威脅,確保企業的永續經營,降低對企業的傷害,以及提昇企業投資報酬率及商機。因此,資訊安全不只是討論關於電腦系統的使用與相關控制而已,資訊安全是全面性的管理,包括工作環境、人員安全、教育訓練、電腦設備、軟體系統、安全政策等等。
三大功能 不可不知
而資訊安全的重點則包含了『資訊』及其使用的人員及支援的處理設備、系統、和網路的機密性、完整性、和可獲得性。
機密性(Confidentiality)指的是在於保護敏感性資料,不會被任意散佈與未經授權之存取。例如:保護來自於業務以及客戶之稅務資料。保護智慧財產(程式原始碼)以及員工個人資料。
完整性(Integrity)指的是在於確保資料之正確與品質。例如:確保稅務資料在送出之後不被變更。確保政府網站,不被未經授權之第三者竄改。
可獲得性(Availability)指的是在於維護資料之可用與有效性。例如:確保中華民國國民都可以24小時存取政府相關網站與資源。確保帳單都經過驗算。
在建立資訊安全管理之前,企業必須清楚到底建置的目標是甚麼。簡單的說,資訊安全管理的目標,對內,是使企業具備資訊安全管理的能力,並建立資訊的「安全等級」資料管理制度。對外,則必須具備足以防範病毒及駭客入侵、系統在遭受攻擊破壞、或發生意外災害時,仍可維持正常運作的能力。
三大威脅 不可不防
資訊安全的主要威脅來自三大方面,技術面通常指的是運用電腦科技技術,達到入侵、竊取、或破壞的目的為主,例如病毒或駭客。環境面指的是意外災害等,例如地震,水災。以上兩個方面,我們都可以透過技術的運用或建置備援或復原計畫來達到保護資訊的目標。第三個方面則是資訊安全管理最為困難的一個層面,那就是『人』,或稱行為面。『人』是建置資訊安全管理的所有項目中,最複雜也是最難管理的一部分。但這並不代表資訊安全管理的目標無法達成,我們仍然可以透過教育訓練、管理機制、加上適當的電腦技術,來達到保護資訊資產的目的。
有了基本的資訊安全認知,企業或組織在建立資訊安全管理體系時,才能踏出成功的第一步。其他的相關的成功因素則包括了高階管理階層的全力支持,提供足夠的資源,建立完整的導入實施計畫,並對各階層充分的溝通,讓全部的員工都能充分了解與參與。並且以商業導向為基礎,實施完整的風險評估與管理,建立完整的有價資訊資產資料庫,隨時檢視及調整。最後高階主管必須展現嚴謹貫徹執行的決心,輔以不定時的宣導及耳提面命,將資訊安全的觀念內化為所有員工工作流程的一部分,確保企業資訊的安全不論在任何時刻、任何場合,都會受到妥善的注意與照顧,而不是淪為口號,才是企業建置資訊安全管理的成功之道。
(本文作者為安侯建業會計師事務所資訊風險管理服務組經理)