工研院設「資訊安全長」拼資安

成立於1973年的工研院，一向以前瞻技術的研究發展為己任，該院除了資訊架構先進外，在資安上著墨也很深。工研院資訊技術服務中心主任王輔卿表示，隨著工研院的重新定位，從過去講求「創新」而鼓勵的「資訊分享」，到後來為了加強研發與專利資料的保護，開始推動「資訊保密」，資訊安全為兩者重新取得一個平衡點。該院甚至還設了國內少見的「資訊安全長」一職，來推動資安內部事務。

BS7799精神融入各單位每一個工作流程
2002年工研院展開為期3年的資訊安全管理計畫，就在當時設立了工研院資訊安全長（CISO）職務作為計畫召集人，以全院8000人使用的電子郵件系統、4000人使用的技術資料與專利系統、約1000人使用的SAP財會系統以及機房等4個重點系統納為導入與驗證BS7799的範圍，透過臺灣IBM的顧問與輔導，在2004年12月通過BS7799的認證。

王輔卿指出，「全院包含7所6中心的資安管理都以BS7799的精神設定所有工作流程。以文件管理的部分為例，將所有資料檔案的分類與識別、流通範圍與權限等規範登錄造冊，包括資料的時效性，從產生、列為機密或恢復一般性、作廢到通報的生命週期，一一加以管理與紀錄。」

資訊安全長下設獨立的資安管理系統
在資訊安全長之下，設有獨立的資安管理系統，除了將院內技術類機密、非技術類機密與敏感科技等3個業務納為最高保密層級，7所6中心旗下都設有資安室，再以單位規模為依據配置1到數名的資安官與資安幹事，一方面進行管理與稽核，另一方面透過這一群經過訓練的管理人員，將資安制度與觀念帶到各個組織當中。

王輔卿笑著說，「由自由到部分限制，導入資安管理的同時也是在教育同仁。對於員工使用網路與資料檔案的相關規定不少，印出來有好幾頁，但為了幫助同仁閱讀，怕同仁嫌字太多不想看，除了公布在網站上，還提供『導讀』，直接引導同仁道與自己相關的部分規定。管理上也比較人性化，犯第2次錯誤才會處罰，處罰也是扣除年終獎金，而不是有可能立即影響生計的每月薪水。」

計畫推出中小企業專用資安管理工具
工研院以自身的經驗，承接輔導企業導入資訊安全管理制度（ISMS）的業務。，財團法人中小企業信用保證基金與一家保全公司都是工研院的客戶此外，工研院希望與政府及廠商合作，在明年推出為中小企業量身打造的資安套裝工具，就像是提供簡化版的BS7799，藉此讓預算有限的中小企業，以最低的投資成本達到安全管理的目的。

除了認為企業應該更加重視資訊主管的權利與義務，談到企業資訊長所扮演的角色，王輔卿舉了一個很有趣的例子：「資訊長就像是車子的儀表板，提供執行長『企業車況』，在車子出狀況以前，預先防止狀況發生，或事先提醒執行長該如何因應。」文⊙高雅欣