「資訊安全面面觀」首部曲

| | | | | | 留下回應

    

首部曲--企業安全管理實務--

前言：在資訊爆炸的今日，隨著網路與科技的不斷演進，不論是身處於何處的你我，都可能面臨資訊安全的衝擊，更遑論肩負經濟發展脈動的各公司企業，加上不久前爆發的台積電洩密事件，更讓許多仰賴資訊安全交易的廠商，迫切感到企業安全管理的重要性，為了進一步瞭解何謂「資訊安全」？企業們又該如何做好資訊安全管理？從即日起，CNET企業應用區將推出一系列的專題性探討文章，讓您好好檢視一下--您的企業資訊現在真的「安全」嗎？

安全的定義

根據遠傳電信安全管理處經理徐子文的說法：「安全，是利用主動或被動的各式方法，用來保護或保存一個環境，使其在組織內或社會內的活動不受干擾的進行。」他進一步強調說，一般認為的「保全」概念還不夠主動，能夠事先地預防並針對安全問題進行改造計畫，才是真正主動的安全保護措施。

一般來說，企業安全的目的，不外乎以下幾點：

1. 保護企業資產完整

2. 將可能發生的損害降到最小

3. 使投資報酬及事業機會增至最大

4. 確保企業永續經營

但是要真正瞭解企業安全管理前，還是必須先探究最基本的「風險管理」概念。徐子文認為風險管理分有兩部分，一是「機會風險」，指財務、策略上等的誤判損失；一是「純風險」，也就是天災人禍、犯罪行為（電腦犯罪、仿冒）等。

而瞭解風險管理的定義之後，還要進行更重要的「風險評估」動作，現在請您評估以下的重點問題：

1. 哪些資產需要被保護？

2. 存在的風險種類及程度

3. 為什麼這些資產會受到威脅？

4. 當這些資產受損時的後果？

不過，由於每一個產業領域需要考慮的資產不同，也導致後續的風險管理動作，必須針對不同領域而有所修正，例如以航空與電信為例，航空業最害怕的莫過於飛機失事與劫機等飛航安全事件，而電信業最需要擁有穩定的通訊品質以及客戶資料的保密等，所以不同領域間雖然還是有共通的安全管理原則，但是對任一產業而言，還是有他們最害怕的「致命點」，一旦受到危害將造成無法彌補的嚴重損失。接下來，我們就要進一步探討如何做好「企業安全管理」。

  繼續閱讀： >>