資訊化打造核心能力——談研發資訊保安(一)(轉)

ger8發表於2007-08-15
資訊化打造核心能力

隨著資訊與網路科技發展,在臺灣大小小公司裡,計算機相關裝置與應用軟體已經很普遍,雖然資訊科技的運用不過二十多年曆史,但是對臺灣企業而言,E化已經是一個完全不一樣的概念。

早其臺灣企業使用資訊系統,主要是以電子化取代人工操作,提高工作效率,例如以應用於軟體管理倉庫的進出貨、處理訂單及客戶資料、日常會計核算及產生報表、處理員工人請假作業及代替發放薪資等,都是很普遍的例子。

隨著全球化發展,台灣不少國際化企業在客戶關係管理,新產品開發,與全球運籌管理等領域彼此激烈競爭,新經濟時代,資訊科技的運用已不限於支援企業日常作業之需求,逐漸成為競爭與發展的策略核心。1990年代末期廣達、英業達等電子大廠商紛紛匯入SAP系統,為的是與美ODM大廠的資訊系統聯結,透過電子化方式完成訂單的接受、製造、採購以及出貨等作業,強化雙方合作關係;SAP變成與ODM大廠建立長期夥伴關係的重要門檻,某電子大廠資訊長說:“戴爾人來台灣挑選代工廠商時,只要聽到我們用的是SAP系統,其他問題就不問了,因為他們很清楚,以SAP處理的訂單交易是無法做假的。”

這幾年來臺積電穩坐全球晶圓代工龍頭寶座,主要歸功於“虛擬晶圓廠”策略成功,依據董事長張忠謀先生的說法,所謂“虛擬晶圓廠”就是客戶可以把臺積電的晶圓廠當成他們自己的晶圓廠一樣,甚至比他們自己的還要好,也就是說,在客戶眼中,臺積電晶圓廠在機密維護和資訊取得上就如同自己的廠一般。

然而“虛擬晶圓廠”策略之所以能夠落實,最主要還是靠資訊科技的協助,對IC設計公司而言,最關切的莫過於所設計的晶片,為了滿足IC設計公司對晶片製造質量資訊的實時需求,臺積電先將內部製造與產品檢驗的系統整合完畢,再透過網路技術讓IC設計公司隨時可透過網路查詢代工晶片進度以及優良品率,瑕疵等資料,回饋資訊的速度甚至比IC設計公司自己的工廠還要快還要好。

研發資訊不安全,危害企業競爭

水能載舟亦能覆舟,信處系統功能雖然強大,本身弱點及不可控制因素也很多,以雅虎網站為例,其搜尋功能早已是從多網友愛用的工具,卻也是全球網路駭客最喜歡攻擊的物件,根據世界各地這幾年發生的資訊保安事件,企業在營運及策略上對資訊科技的依賴愈深,資訊保安事件對企業造成的傷害也愈大,台灣某家知名科技公司在大幅擴張期間,與國外裝置供貨商以電子化方式處理採購下單以及裝置入倉及領用作業,但是由於該科技公司所匯入的ERP系統安全控管機制不足,與供貨商對賬時才發現兩邊系統對於已完成訂單以及裝置領用記錄有誤差,誤差金額高達20臺幣,而且找不到原因,一時之間雙方關係一度緊張。

以臺積電“虛擬晶圓廠”為例,可隨時從網路上查詢晶片代工製造相關資訊,對IC設計公司而言固然很方便,但也很具威脅性,如果有人運用網路駭客技術,竊取IC設計公司查詢的資料,馬上就會引發機密資料外洩的問題,同時影響臺積電與客戶的合作關係以及IC設計公司的競爭力。

除了資訊與網路系統本身的安全性之外,研發資料的保護不周也會嚴重衝擊企業競爭力,臺灣製造業與代工業之所以能維持獲利,是因為比競爭者早幾個月將取得價格優勢。所以對競爭者而言,製造業的研發資料具有極高價值,絕非其他營去資訊可比擬,況且研發資料可以直接使用,一旦被競爭對手取得,立即可以製造出類似產品,或是吸收其中智慧來改善既有產品,想想過去台灣就是以這種超強的模仿能力擊敗其他國家,因而研發資訊資產,企業如果缺乏適當安全管理機制,很容易發生知識財產遭盜用、核心研發資料外洩、資深研發人員被挖角、研發資料損毀滅失、未經許可修改造成設計錯誤、寶貴研發知識白白流失等,嚴重影響企業競爭力的資訊保安事件。

面對內地製造業來勢洶洶,新產品研發已成為臺灣製造業之命脈,除了當局大力推動建立台灣為亞太研發中凡政策之外,臺積電、廣達等高科技領導企業同時大幅擴充研發部門規模,研發預算不斷創新高。然而長期以來研發作業卻是臺灣企業管理上比較脆弱的一環,不但欠缺陷有效的安全管理機制,意外事件更是頻傳。如在這之前才發生的某高科技公司研發洩密案,某電子公司研發人員被挖角,還有前年東科大火燒掉多家科技公司多年寶貴資料等,不但衝擊整體營運,削弱企業競爭力,還會賠上公司形象,影響代工廠與國外ODM大廠的合作關係,如果連企業本身命脈的研發資料都暴露在外來威脅下,如何能合理保障ODM大廠的技術資訊能獲得妥善保護,所以在大力強調提升研發能力時,研發作業資訊保安是臺灣企業必須面對的問題。

傳統內部控制與風險管理及資訊保安的關係

傳統內部控制主要是從維護資產安全,確保財務報導允當表達及遵守相關法令規章這三個角度,對流程中各個作業設計實行控制,而且在設計控制措施時,主要考慮控制措施執行的成本,比較少討論控制措施是否足以協助企業將風險降到可接受水平。

風險管理則是以風險為主要控制目標,強調現行內控制度須能有效將風險降低到可接受水平以下,否則就必須增加控制措施,因而對於面臨複雜經營環境及挑戰的企業而言,風險管理比較能找出所有潛在風險,並依據企業策略目標及發展方向,排定優先順序,建立適當管理機制,交重要的風險專案降低到可接受水平以下,減累意外事件對企業的傷害。

資訊保安則是將重點放在資訊資產的保護,資訊保安可以協助企業找出資訊資產面臨的風險,排定優先順序之後,設計適當控制措施予以保護。

研發風險與資訊保安

前面研發作業內部控制中已說明“企業整體風險管理(Enterprise Wide Risk Management)”的意義與內涵,就風險管理而言,企業必須找出所有可能造成獲利目標無法達成的不確定因素,也就是風險專案,並予以適當管理,與過去相比,在全球化日益複雜的競爭環境中,台灣企業面臨更多挑戰,更多不確定性以及更多風險,因而,對於以開發新產品為主要獲利及發展策略的臺灣製造業而言,控制並降低研發資訊風險是策略管理的一項重點。

資訊本身就是一種資產,特別是研發資料/資訊,對企業而言,是價值非常高、非常重要的資產,例如某家以燈飾為主要產品的公司,其電新的藝術燈飾設計圖,就是該公司最重要的資產,一旦設計圖落到競爭對手手中,很可能在此項新藝術燈飾上市之前,競爭對手就已模仿其設計概念,推出類似產品,這將對該公司銷售收入及市佔率造成嚴重打擊。

困此,從資訊保安角度來看,所謂風險(Risk),是指企業因為遭受災難、意外事件、惡意保護措施,本身十分脆弱(稱之為資產有弱點),而且面臨外部威脅,可能危害該項資產,資訊保安風險就是指某些特定威脅,不論是來自公司內部或外部,利用資訊資產本身的弱點,對資產造成損害的可能性。

當資訊資產面臨風險時,企業可能採取兩種應對態度,一是“甘冒風險”也就是不管它,不對資產採取任何保護措施,任由風險存在,另一是採取適當措施來保護資產,將所承受的風險降低到管理者可接受的範圍之內。

資訊保安管理觀念

在對研發資訊資產面臨的風險有了初步概念後,我們進一點說明資訊保安的觀念及管理架構,資訊保安的標的是資訊資產,而資訊資產則是企業價值的代表,獲利來源,企業有很多的資產,包含有形的廠商裝置及無形的智慧財產權等,每一項資產對企業的價值及重要性皆不同,資產遭到破壞時,對企業的衝擊程式也不一,資產對於企業營去與獲利愈重要,其價值就愈高,遭到破壞時對企業造成的損失也就愈大,風險也就愈,愈需要適當的管理機制來保障資產安全。

除了資產價值外,另外兩個會增加風險的因素,資產本身的弱點以及所面臨的威脅,一般資產本身都有弱點,只是脆弱的形式及程式不同,就有形資產而言,例如廠房裝置、現金、重要檔案、計算機裝置,除了本身可能遭竊外,實體就是弱點,而火災、水災、惡意破壞就是威脅,無形資產雖然沒有實體,還是會有弱點及威脅,例如機密資訊或資料雖然沒有實體,但是資訊可能外洩或被競爭對手得知,電子資料可能遭到不當刪除或損毀而滅失。

整體而言,資產價值愈高,對企業就愈重要,而資產本身愈脆弱、面臨的威脅愈強大,受到破壞的可能性就愈高,匯合起來企業承愛的風險就愈大,因而企業必須針對重大風險專案,指出安全需求,並設計適當控制措施,以保護資產弱點,減少資產面臨威脅,進而將風險降到可接受水平以下,減輕企業因為意外事件的損失。
[@more@]

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7839396/viewspace-957802/,如需轉載,請註明出處,否則將追究法律責任。

相關文章