成功的全球化企業 您的資訊系統 安全嗎？

資訊系統安全重要性
當今全球化企業環境，成長與風險已經形影不離，凡是機會越大則風險相對提高。要成功如果未依賴有效管理風險，則不易執行全球化企業策略。在我們今日的網路世界，中小型企業剛要起步加入全球化，乃因電子商務提供更大的遊戲平台，讓公司擴大經營進入新市場及快速變遷的新經濟時代，其經營模式相對帶來較大的企業風險，包括企業及客戶資訊風險。全球化的機會可以讓你快速成為明日之星，但可能因資訊系統不安全而導致損失或者毀損公司資訊、交易機密被竊、客戶資料外洩、或系統毀損等，反使你成為「他山之石」。



已達成何種事項
幸運的是，多數公司正透過強化資訊安全來轉移這些風險，Ernst & Young在2006年進行過資訊安全問卷調查，顯示企業過去幾年：

■ 投資金額鉅大：最近幾年有重大資金投資於資訊安全。

? 人員：更多資訊安全官存在於集中或分散制的資訊安全功能。

? 作業流程：在資訊安全具備更多正式、文件化及驗證程序。

? 技術：投資更多軟硬體設備於存取控制、入侵偵測及病毒防護。

■ 董事會參與機會變多：因為產生大量媒體的次數頻繁及資訊安全入侵情況嚴重，所以資訊安全已是董事會關注的議題。

■ 來自主管機關的正面影響：主管機關要求遵循有關內部控制、財務報導及機密性已是企業主要不可避免之項目，因此可了解投資於資訊安全所面臨之挑戰。

■ 領導者已正視資訊風險：資訊安全已全面性、主動影響公司董事會運作、法規遵循及商譽。

持續性改進是必要的！宏瞻未來，企業資訊的重要性將持續增加，我們可預見主管機關對財務報表、企業資訊保護及機密性之期盼；也預期公司隨著全球化所面臨之資訊風險及影響，更需持續強化資訊安全。

企業將需要研擬及支持可讓他們達到營運目標之資訊安全架構，這份調查資料可協助企業更廣泛、深入明瞭資訊安全趨勢及哪些區域應該著重改善之處。



全球資訊安全五大焦點
全球企業風險越來越複雜且交叉影響，企業必須加強其風險管理以便達到策略目標，必須持續與企業策略、治理、資訊科技及資訊安全等活動關聯一起。

當擴大新興市場或者新夥伴加入時，考量評估資料存取及完整性、客戶服務及機密性、網路通訊及安全；同樣地，公司治理及法令遵循需要有效地與財務管理、營運及資訊安全控管齊心同步邁進。

我們所強調之全球資訊安全五大焦點會加速影響企業管理風險能力，並連動其全球化之成功與否。有關五大焦點如下：

整合企業之資訊安全

資訊安全管理議題在企業內扮演重要角色，且是企業決策之後緊接著要考量部分。經過問卷調查後彙總出以下三點趨勢：

? 資訊風險管理正成為全面性風險管理的一部份

因法令遵循的壓力而對資訊安全時間及資源之需求，已經越來越強烈驅動公司傾向將資訊風險管理歸屬於全面性風險管理之一部份。

? 資訊安全現在更與公司文化結為一體

有效的資訊安全有賴公司員工清楚明瞭公司政策及個人責任；如果是如此，則資訊安全資源將可一致性建置於公司，且有效控管風險及弱點。

? 資訊安全功能更與委外決策合為一體

資訊安全委外日益增加已經成為企業委外討論之一，這些討論已經成為企業執行資訊安全決策的最大挑戰，例如：有經驗且受過訓練的人員。

現今持續遵循法令要求成為資訊安全時間及人力分配主要動因，政府及投資者主導的時代，若無法全面符合法令規定需求，特別是內部控制，將是企業面臨最嚴重的營運風險之一。經過問卷調查後彙總出以下三點趨勢：

? 遵循法令會影響資訊安全之持續成長

? 法令遵循正促進資訊安全與其他功能團隊結合成一個團隊

? 法令遵循正改變資訊安全
管理第三方之風險

不論是大型或小型規模之公司均需向供應商採購商品或服務，以致牽涉數千家之全球供應及配銷鏈之風險與弱點可能被低估。當公司將重要客戶或員工機密資料的功能委外，將可能具備更多潛在的風險及弱點。經過問卷調查後彙總出以下兩點趨勢：

? 公司正管理其供應商相關風險

三分之一參與問卷調查之人員表示，已規劃正式管理供應商風險之程序，藉由管理供應商風險給予企業加強信心。

? 供應商正管理其自己供應商的相關風險

供應商也正提升認可資訊安全在第三方過程扮演重要角色，期望在未來投入更多資源於資訊安全，以便提供更安全之服務予顧客。

著重於機密性及個人資料保護

全部資訊安全問題中，機密性是最客戶導向的一項，且已變為高階之營運問題。

? 全球資訊化，機密性已不可必然地變為更複雜及顯著的問題。

? 有關個人及企業的機密資料成長量已經移動且跨全球性，資訊安全組織必須扮演重大使命角色，以確保公司主動執行有效資料保全的工作。

? 如同公司所記錄「疏忽機密」將變為公司重大的清算問題及危機風險。

在顧客壓力及業務負債之臨界處，企業或其他組織是否於蒐集、使用及儲存消費者資料採取主動及完整之方法以降低機密性及個人資料保護之相關風險。經過問卷調查後彙總出以下兩點趨勢：

? 逐漸增加焦點於主動機密性及個人資料保護

? 機密性及個人資料保護逐漸成為正式化

設計及建置資訊安全

資訊安全與技術二者間存在的爭執已經很久，更多需求反應是該採取主動式的機會。法令遵循期限如同資訊入侵事件必須同等被處理；但是更需在增強能力及防禦面主動投資。經過問卷調查後彙總出以下兩點趨勢：

? 資訊安全變為更主動以符合企業目標及企業營運持續計畫。

? 資訊安全逐漸採用被認可之標準。



如何因應
由此問卷得知目前企業邁入全球化，在上述五大著眼之資訊安全焦點，企業尚有很多改善之處，以下列出幾點方法供企業參考採用，藉此讓企業資訊系統站在充分之安全情況邁入全球化，而無後顧之憂：

1. 整合企業之資訊安全：建置與企業組織更為密切之資訊安全方案，例如：採取定期會議、建置資訊安全管理架構、宣導、確保員工熟悉資訊安全等。

2. 延伸遵循的影響：投資解決資訊安全風險問題，以符合法令規範；主動將資訊安全遵循之控制程序建置於一般性作業中。

3. 管理第三方之風險：規劃正式程序管理第三方業務，包括風險評估架構；採用標準及獨立性覆核，展示公司良好的資訊安全環境予客戶，例如：SAS 70。

4. 著重於機密性及個人資料保護：建立內部之機密性及個人資料保護程序；資訊之存取控制及資訊處理程序予以正式化；確保員工已經接受機密性教育訓練。

5. 設計及建置資訊安全：在新興企業活動開始前，及早且持續性主動參與資訊安全；辨識重要企業活動，並評估其弱點及排定優先順序；採用或者是藉由使用資訊安全架構並建置實務作業以通過標準之驗證，同時整合資訊安全與企業目標。