後記

iThome 2004 企業資訊安全大調查 是一次「普查」，並沒有針對特定的產業 或對象，而是收集各行各業及各種層級的 看法，所以有一部分的結果可能與你的 印象不同。

每個調查都有不同的問題、時間點及受訪者，所以調查結果只是一個參考指標，讓我們能有不同面向的啟發。以下就針對調查所觀察到的幾個現象，提出來與各位分享：產業別差異，造成資安落差

資訊安全有沒有產業別差異？肯定是有的，我們的調查發現，金融、電信及政府對資訊安全的重視度高，對資安的信心度及規範嚴謹度也都比其他產業高，相對的，醫療和製造業則是比較落後的一群。

資安重視度高的產業，他們對資安產品的需求度也高，願意編列更多的預算去採購產品，很自然地，資安廠商對他們的「服務和教育」也比較多。廠商在人力和物力有限下，這樣是很正常的，但別忘了，我們這次是普查，哪些沒被服務和教育到的企業，也很清楚地呈現他們對資訊安全的「錯誤認知」，或許企業、廠商及媒體都有責任吧。先搞清楚資訊安全是什麼？

除了少數IT主管和MIS人員清楚了解資訊安全的定義，大部分的人仍搞不清楚資訊安全是什麼，甚至誤以為防毒或網路安全就是資訊安全。資訊安全除了最常見的網路安全，還包括系統安全、儲存安全、實體安全、安全規範、風險評估……，如果真的要做，恐怕怎麼做也做不完，但如果不做，不僅機密資料被偷光，也沒人敢跟你做生意。

該怎麼做呢？先搞清楚風險在哪裡，從那邊著手準沒錯！

在搞不清楚資訊安全是什麼的狀況下，許多企業往往以網路和系統的管理人員充當資訊安全專責人員，但這些人可能只著重在某塊領域，缺乏整體的資安觀。此外，資訊安全教育不夠落實，資安警覺性不足，也讓人的問題越來越嚴重，許多資安問題往往是內部員工使用不慎所造成，包括非法軟體、即時通訊、P2P、木馬後門及無線網路等。

為了解決人的問題，制定資安規範是最佳的解決方案，BS7799也成為資安規範的代名詞。我們也可以從調查發現，雖然有5成以上的企業有制定資安規範，但只有19.1%的受訪者是完全遵守，其他人不是未完全遵守，就是不遵守。所以，別忘了一件事，資安規範只是條文，需要搭配資產品技術、教育宣導及人事獎懲，才能有完整的效果。資安市場亂糟糟，2005將是重要關鍵

也許你會問，為什麼我們只調查了4款資安產品的品牌，不多調查一些產品？如果可以的話，我們也想調查所有類別的產品，但受訪者可能沒那麼多時間，而且，除了防火牆和防毒是熱門產品，其他產品似乎都是雷聲大、雨點小，即使連最熱門的垃圾郵件過濾產品，也有1/3以上的企業仍未採用，更何況是IDS/IPS、滲透測試等產品。

這一兩年，各家廠商不斷推出新的產品，資安議題不停發燒，但整個資安市場卻是亂糟糟。我們看到廠商不斷代理國外產品，也有廠商自行研發設備，但如果產品真的那麼好賣，為什麼仍不斷有廠商傳出財務危機，研發部門被裁撤，甚至整個部門被解散。

更好玩的是，也許業務人員上個月跟你賣防毒軟體，下個月可能就跳到另一家公司，向你推薦最新的防火牆。市場一片混亂，連帶影響資安人才不斷轉換跑道，也許你下次可以先問問他們的生涯規畫，是不是有跳槽的打算，不然，你可得當心售後服務後繼無人。

國外資安大廠不斷上演併購的好戲，國內有財力的大廠可沒閒著，挖角只是普通的戲碼，搶代理權也只是配角，併購有技術能力的廠商，絕對是你不容錯過的好戲。