員工有遵照企業所規定的資安規範嗎?
評點
大多數受訪者都認為員工並沒有完全遵循公司的資安規範(65.2%),另外也有8.9%的受訪者表示員工並不理會,由此可知大多數的員工不是選擇性遵守,就是完全將資安規範當作耳邊風。
從產業別來看,回答「有」的比例較高的為電信(30.3%)與金融(28.4%),因為這兩種產業日常需要接觸的資料與大眾息息相關,在不容許有錯誤的情況下,會提供員工較多的教育課程,也較具有相關資安概念;其次在這兩種產業中,資安規範都具有連帶的相關罰則,情節嚴重者甚至會遭到開除,因此遵守規範的比例較高。醫療業則有28.6%的受訪者則表示員工不予理會,一方面醫療體系並不以資安為主要考量,另一方面是資安部門主管都由醫生兼任,難以嚴格規範。
由這些狀況我們可以得知,就算有一份完善的資安規範,但是未結合獎懲法則,就只能消極的從良心面約束,無法達到預期的效果。由我們進一步的訪查中得知,大多數的企業僅制訂規章,而未明訂罰則,導致執行不善,或是流於紙上談兵。另一方面則是細節管理的問題,許多資安規範只是針對大方向制訂,小細節卻忽略不管。舉例來說,許多企業都已經開始使用強固密碼(Strong Password)機制,並要求定期更換。雖然立意良好,但是卻造成員工難以記憶密碼,將帳號密碼貼在工作區周遭,反而造成資安漏洞,比訂定前更危險。針對資訊安全,貴公司目前採取什麼作法?
評點
我們可以發現有65.6%的受訪者表示全由資安部門管理,全部委外的部分僅佔4.6%。而自行負責的產業則以電信(80.3%)、資訊電子(75.0%)居冠,由產業差異我們可以發現,員工素質越高、人力較充裕、且與以資訊為命脈的企業都偏向自行管理。而委外與否的原因可以從素質、成本、人力以及資訊敏感度等四方面考量。
金融業是採用部分委外較為明顯的產業,對於較為敏感的帳戶資料和匯款記錄,不可能委外管理,而允許委外管理的部分則大多為弱點掃描與滲透測試、報表分析與評估等服務,及不直接觸及機密資料或是無法自行完成的高難度工作。目前來說,委外尚未形成風潮的原因在於預算以及成本偏高上,依據現行會計制度,採購硬體設備能夠編列為資本,並可採3到5年攤還,但是採購服務則是一次性費用,不但必須提列為負債,也無法分期攤提,會影響財報的美觀;不論是置於IDC或是委外人員定期檢視等作法,相較於採購設備,委外的價格依然偏高,因此也影響了企業的意願。
熱門新聞
2024-11-12
2024-11-10
2024-11-10
2024-11-11
2024-11-11
2024-11-12
