「資訊安全面面觀」首部曲

| | | | | | 留下回應

    

企業安全管理

安全管理有三大要素：人、技術、流程管理。這三者環環相扣，缺一不可；以人為基礎運用技術，技術再協助流程管理，流程管理是方便人來運用技術。整個概念，如下圖所示。

在圖中，我們不難發現，不論技術或流程管理如何先進、有效率，都避免不了一個根本的問題—那就是「人」的不確定性，事實上，通常發生企業安全事故的比例中，人的問題就佔了80％左右，可見只要加強對「人」的觀念疏導，相信企業安全管理將可事半功倍。

到底企業安全管理要怎麼做呢？徐子文分六大項來說明：

一、 實體與安全環境（Physical & Environment Security）： 防止因未經核准的進出，影響或損害到工作業務場所、資產及人員。

二、 人事安全（Personnel Security）： 降低因內部或外部人員不當行為所產生的風險。

三、 資訊安全（Information Security）： 保護資訊及其支援處理設備、系統和網路的機密性（Confidentiality）、完整性（Integrity）和可獲得性（Availability）不受到各種方式的威脅，使可能發生的事業損害降至最低，確保企業的永續經營。

四、 緊急應變計畫（Emergency Planning）： 對人為或天然的災害預作準備，以降低其對事業所帶來的負面影響。

五、 企業安全稽核及事件調查（Security audit & Investigation）： 提供企業安全狀態及安全危害事件的真實資訊，給企業管理階層做為參考或採取必要行動。

六、 企業安全教育訓練及宣導（Security Awareness Training , Education & Promotion）： 提升所有員工對企業現存的安全威脅和顧慮之瞭解跟關心，並使其有能力在日常工作上支持公司的企業安全政策。

其中，以企業安全教育訓練及宣導此項最為重要，也就是之前強調過的，一切的安全管理還是以「人」為本，唯有治本才是真正的良策。即使是安全內部稽核作業，都是以「人」為主，而非以「事」為優先考量。裝再多的監視器，也比不上一個員工對安全管理的認知。

結論

雖然安全管理的作法與定義，聽來似乎都是老生常談，但是一旦進入真正的運作階段，又不免出現許多棘手的問題，令公司內部的資訊安全管理部門頭疼不已，這主要還是因為公司內部僅有安全管理部門理解「安全」的定義、重要性以及作法等等，其他部門的員工則將這些問題拋諸腦後，以為有安全管理部門負責，就一切萬事無憂，殊不知這正是危機的開始…。

另外，目前國內的許多安全評鑑制度，大多還是引進國外的數據，對國內的企業來說，還是較難一體適用，尤其許多公司不願提供損害的實際數字，也導致國內的安全管理專家難以制訂出，一套完整平衡又符合我國體制的評鑑系統，對於這一點，也是國內企業在加強安全管理時需要注意的地方。

最後，提醒您，這篇文章只是「資訊安全面面觀」系列報導的首部曲，接下來我們將陸續推出「全球資訊安全市場發展現況及趨勢」、「我國資訊安全市場發展現況及趨勢」兩篇深入的探討文章，請您密切注意！