暗網潛航——信息安全風險保險(三)──知兵之將

  之前與各位讀者討論信息安全風險保險的核保條件,都是與設備及技術相關,其後有人問我,是否只要吩咐我的IT部門按程序,就可以處理信息安全事故的問題?

  老實說,這是遠遠不夠的。坊間往往認為,信息安全只是IT部門的事情,但這個想法卻是完全錯誤!

  信息安全並不是電腦安全,而是如何安全保護「信息」。機器壞了可以換,但數據資料毁壞了可能回不來。就像你的智能手機,壞了可換一個新的;但電話內的照片、聯絡人資料及信息,一旦失去隨時無法復原,所以最有價值。

  故與信息相關的一切,都是我們這些信息安全專家會考慮的事項。然而有個「東西」無法透過升級、更新、更換操作系統就能解決問題,那個東西就是「人」。很多時候,有意無意將信息洩漏出去的,都是人為問題。

  所以我們評估信息系統的風險時,也包含營運環境內所有部門的員工,觀察他們的安全意識是否足夠。不管你有多好的IT部門,大筆開支購買強大而昂貴的器材,只要其中一個員工或使用者缺乏安全意識,整個系統就有機會出現危機。

  所以我們不會只是針對IT部門,也會同時針對會處理敏感訊息的部門,評估員工的信息安全意識水平。

  我們有一套方法,針對信息安全意識培訓和怎樣管理人員。例如聘請員工時,公司有否為僱員進行犯罪背景調查、詳細列明其職權及責任、解說公司的信息安全守則、員工有否簽署保密協議?在職期間,有否恒常提供年度信息安全意識培訓、能力評估,以及違反守則的懲罰制度?員工離職時,如何妥善處理員工所處理的敏感資料及交接問題?

  所謂「知兵之將」,減少信息安全問題,除了「工欲善其事,必先利其器」,擁有充足的保安措施及購買「信息安全風險保險」降低事故損失外,更重要的是公司、處理信息的員工及使用者,都對信息安全有充足了解,避免人為失誤導致資料外洩或損毀,企業才有更深入保障。

TOZ聯合創辦人

龐博文


hd