近來銀行盜領事件使得資訊安全議題再度發燒。事實上,舉凡組織內軟硬體資產的管理、系統運作的穩定性、重要資料的存取與備份等均屬資訊安全範圍,而隨著網際網路的發達與電子商務時代的來臨,除了實體安全與人員管理之外,網路安全的重要性也日益提升。
根據資策會MIC對我國大型企業資訊安全現況所作的調查顯示,有34.7%的企業曾發生資訊安全事件,其中,大部分企業發生次數在三次以內(80.7%),2.9%的企業發生超過十次以上的資安事件。
資安事件發生原因方面,電腦病毒感染高居第一,達71.4%,駭客入侵則為第二(見表)。發生過資安事件的公司之中,超過五成的企業認為資訊安全事件會影響公司業務進行。超過八成認為資安事件對公司業務僅有些許的影響,認為嚴重或是非常嚴重影響公司業務進行之公司比例僅占14%。
整體而言,本次調查結果顯示,已實施資訊安全管理措施的企業幾達百分之百,表示一千大企業不論是基於法令規定或是企業內部的需求,均已對資訊安全有初步之認知。由實施內容來看,在資安政策上,鑑於歷年來災難頻傳,八成企業的資安政策中包含災難回復計畫;在網路安全方面,還是較偏重防毒軟體、防火牆等應用,至於入侵偵測、安全評估與電子憑證等工具的應用情形則並不高,這也是未來須強化之處。
而在資訊安全未來需求方面,我國一千大企業2002年投入資訊安全的經費,占資訊預算之比例為4.9%,2003年將提升至6.5%,這是一個可喜的現象,然而無法計算投資報酬率、專業資訊人才不足等也是造成資訊安全無法落實的原因。這些問題均可能妨礙資訊安全的推動,需要政府及企業一同面對並解決。
其中建置完善的網路安全系統並不能確保不會發生資訊安全事件,只能說其發生資安事件的機率較低,或是發生資安事件時遭到的損害較低。因此,資訊安全投資比較像買保險,買了之後不知何時可用到。也因此企業使用者期待藉由明確的投資報酬率,以估算出合理的資訊安全預算成本,而資訊安全管理準則(如ISO 17799)的落實,將有助企業使用者徹底推動資訊安全應用。
此外,在還沒有資訊安全問題的時代,就存在實體安全問題,所以當時企業會在辦公室或工廠的門窗加裝各式各樣的鎖;後來隨著宵小偷竊技巧不斷進步,也開始考慮加裝專業的保全系統,甚至聘請專業保全人員。以上都是企業基於安全考量,將非本身核心業務的實體安全委外服務的作法。
同樣的道理,資訊安全系統也是為了防止宵小偷竊、修改資料與破壞企業資訊系統,所以部分企業也開始認真思索,如何以委外服務的方式進行資訊系統安全防護,尤其是在這個講求專業分工的時代。許多企業將非本身核心能力的資訊安全工作委外進行,幫助企業專心於本業,提升工作效率,並進一步降低部分金錢與人力成本。
因此,政府應考慮對於資訊安全委外服務業者做出一套完整評定制度,讓企業用戶考量資訊安全委外服務業者時,對於自身所需的選擇有所依據;甚至進一步訂出類似「保全業法」的相關法規,對於資訊安全委外服務業者訂定基本規範,無論是企業用戶與資安委外服務業者,都能在公平的遊戲規則下,讓如同「資訊系統保全業者」的資訊安全委外服務業者順利推展業務,企業用戶也因此能夠得到應有的保護與保障,達到雙贏的境界。
(作者詹文男為資策會MIC主任,陳至哲為MIC資深產業分析師;專欄言論不代表本刊立場)
