從標準到技術，保證IT組織的安全

本篇文章版權由ECF和HP所有

記得作者曾寫過一篇關於IT組織健康度對企業IT安全影響的文章，裡面就提到了組織裡的人員、流程、管理機制不完善，導致IT不安全的情況。但是，我們該如何構建好IT組織呢？

首先，應該先從我們的組織入手。許多的公司都一般是圍繞著支援某項技術的目的來設計它們的組織結構，這樣是存在著誤區的。不管你是在NT、UNIX還是什麼別的作業系統上執行業務，決不要圍繞著某一項技術來設計組織結構。你應該緊緊關注於向使用者提供服務，IT應該始終為支援可靠性、有效性和可服務性而能力（RAS）。RAS和“使命關鍵”實際上是一致的。只有以客戶服務和RAS作為企業關注的焦點，整個計算機化的企業執行系統才會變得更加活躍而有效。

其次是我們的標準。企業可能通過保密制度，結合法律、法規來保護自己的智慧財產權。

接著，強化執行作業程式提高應急能力。第一步，根據實際情況制定出標準化化的作業程式，其中必須考慮到實施應變作業流程；第二步，並針對特定目標提供安全訓練，提高人員作業水平。這樣當危機發生時，人們就不再手忙腳亂，資訊支援人員能在最短的時間內取得專家所提供的病毒碼、清除工具以及病毒資訊，能針對病毒爆發事件擬定一套順暢且有效的應變措施

除了制度及作業方面的措施外，還有一個最為有力的工具，那就是技術手段。

香港警察資料的洩密是黑客所為嗎？不是，那是內部人員拷貝資料所導致的，也就是最簡單而直接的拷貝/貼上，很多的企業大量機密資訊的失竊都是如此的。過去企業針對這種作法就是設立網路防火牆，入侵檢測來進行控制，往往效果不佳。於是一些企業開始從資訊資料本身下手，通過對設計圖紙等電子文件本身進行安全防範的加密軟體，如廈門天銳科技有限公司研發的綠盾資訊保安管理軟體，才能真正做到從源頭保護企業核心機密資訊的安全，防止洩密，杜絕二次傳播。 

    大家還記得德意志銀行“十分鐘悲劇”的事情嗎？那絕對不是制度和技術的問題，那是流程執行人員的意識問題。所以，我們要提升組織整體安全意識，並且安全政策，不應再單單是資訊部門的責任。文/沈詩理

本篇文章版權由ECF和HP所有