隨著技術的發展,儘管防毒、防火牆、內容過濾、入侵偵測能夠協助企業監視或抵禦外來威脅,但資安產品的效能已經不是現階段最大的問題。所謂的資安建置已經不是單純的軟體開發,而是所謂的「企業組織改造」。
企業一定要先秉持「資訊一定不安全」的態度,而且資安一定跟「人」有關,推展資安工作最重要的關鍵是「企業主的決心」,除了資訊安全政策的制訂與管理,最重要的是責任歸屬。
尤其是末端使用者的管理相當重要,企業通常無法百分之百防止因使用者的行為疏忽所造成的網路威脅,包括本刊這次提出的網路詐騙、員工上網、可攜式裝置管理、身分被竊及內部安全漏洞等等。企業網路安全防護與員工教育訓練習息息相關。
企業要先決定由哪些人負責主導、制定和執行公司的資安政策,人力資源部門在訓練新進員工的時候,可先以書面告知公司政策,員工同意後並簽署表示了解也願意遵守公司相關規定,之後就必須嚴格執行規定。
公司公佈的政策內,應該明確訂定違反規定的罰則。一般而言,安全系統與網路管理人員應該建構安全防護機制,成立緊急應變小組因應可能發生的漏洞,並與人資部門密切合作,隨時回報可疑的狀況。在資安基礎平臺建構完成之後,人才是「資安的魔鬼屏障」。
綜合多位資安專家的意見,歸納出以下的人員管理秘訣:沒有特例
防護工具再好,也比不上打破規格的人,所以推行一定要達到嚴格執行、上行下效的目標。將複雜的工作簡化
一般員工會對資安工作心生畏懼,覺得門檻很高,管理者可以透過顧問或工具簡化作業流程,達到參與者都能了解與習慣的境界。定期檢查企業安全政策與程序
確保既定安全政策確實有被遵循,定期檢查安全政策與程序是必要的。伴隨著企業的成長,既有的安全政策也有可能不合時宜,透過定期檢查還可以適時修正。建立員工資安教育制度
建立員工資安教育訓練制度,建立員工的資安維護觀念,不管是資料保密還是網路使用,從使用端建立安全基礎。
CSO制度的推動
企業內設立CSO職務,負責主導資安政策的制定與執行,與CIO同時並存在CRO之下,確定安全在業務與資訊考量下,同時得到重視。
至於企業一定要導入安全管理嗎?一定要取得安全認證嗎?首先企業要先自我檢視是否真有需求?對業務或工作效率是否有幫助?除了考量投資成本,業務與資安孰重孰輕,哪個部分需要導入?導入成效與標的的預先評估也很重要。
熱門新聞
2025-02-08
2025-02-12
2025-02-11
2025-02-13
2025-02-10
2025-02-11
