按Enter到主內容區
:::
現在位置 首頁 > 專區服務 > 廉潔政風 > 機關安全維護宣導
  • 友善列印
  • 回上一頁

企業通訊媒體的風險管理

  • 最後異動時間: 2018-02-11
  • 發布單位: 臺中市政府水利局‧政風室

唯有事先建立相當的風險管理機制,才能有效降低使用通訊設備傳輸資料的洩密機率。

◎魯明德

企業通訊媒體的風險管理

在紛紛擾擾的三、四月間,所有的新聞都被特定的主題所占據,但是關注時事 發展的科技新貴小潘,還是發現了一則小小的新聞:剛拿到執照的第四代通訊(4G) 業者,向國家通訊傳播委員會申請採購大陸華為公司的基地臺;立委認為採購華為 的基地臺有國安疑慮,國家通訊傳播委員會也不知道要如何審核。 看完這則新聞後,積極任事的小潘想到公司的業務員平日在外,即需透過電信 網路連回公司的資料庫以取得資訊,未來的資料傳輸量一定會成長,經由 4G 網路 傳輸是必然的結果;如果照立委所言會有資訊洩漏的國安問題,對公司是否也會有 資安的問題?這又該如何防止呢? 小潘帶著滿肚子的疑問,在這個月的師生下午茶約會中,迫不及待地向司馬特 老師提出。老師一如往昔,悠閒地喝口咖啡後緩緩道來,在科技整合的時代,資訊、 通訊早已是一家人了,以往我們談資訊安全,現在大部分的資訊是要靠通訊作為載 體來流通,所以資訊安全不應只限定在資訊上,通訊安全也應成為資通安全的一環。 但對企業來說,通訊安全比資訊安全更難控制與管理,因為資訊安全可以藉由內部 管理制度的設計、規範來管制;而企業的通訊載體則大多是使用現有的通訊網路, 這些設備都是電信業者所建置,如果基礎建設本身的安全就有問題,即使企業內部 的管理再好,都可能有洩密之虞。 小潘聽到這裏開始迷糊了,既然企業對外部基礎建設的安全無法控管,透過公 眾通訊網路傳送資料,洩密的風險豈不是很高?司馬特老師接著說,做任何事都有 一定的風險存在,不能因為有風險就不做。華為的基地臺可能會洩密,難道其他公 司的基地臺就沒有洩密的疑慮?企業要做的應該是風險管理,找出可能發生風險的 問題,進而預做準備。既然網路發展是一個不可逆的改變,與其去抗拒改變,不如 讓自己改變。在未來 4G 的時代,資料的傳輸量勢必會大量增加,資料的傳輸也一 定會經過基地臺,倘若基地臺真的有洩密之虞,則不只華為的基地臺可能洩密,其 他公司的基地臺也會有危險。如果擔心基地臺會洩密,企業只有兩個選擇,一是回 到原始時代,一切用郵寄,這顯然是不可行;有了這樣的認知,那麼接下來唯一可 做的就是風險管理。 小潘聽完後頻頻點頭,但不知道風險管理該如何做?司馬特老師看出小潘的問 題,繼續說道風險管理其實跟成本是正相關的,所以第一步要先確認企業內部文件 的機密等級,接著要訂定企業內部的文件管理規定;一般等級的文件因為沒有機密 性,洩密產生的風險小,不需要花太多資源去管理;具機密性的文件,則要在文件 管理規定中訂定保管、使用、借閱、傳送等相關規定,俾利各級工作及管理人員遵 守。 至於具有機密性的資料,在網路傳遞時就要考慮加密處理。目前坊間已有很多 的文件管理軟體,可以做到文件、圖檔的加解密功能,不需要另外花時間去寫程式, 資訊人員去找一個適合自己企業的套裝軟體即可。加密後的資料,即使在傳送的過 程中被竊走,也會因無法打開而減少洩密風險。 小潘聽完接著又問:加解密的文件管理軟體應具備哪些功能?司馬特老師喝口 咖啡繼續說,加解密軟體首先應該要做到文件的權限管理,例如這份文件哪些人可 以看?哪些人可以列印?沒有權限的人即使拿到文件也打不開,所以文件在傳送過 程中如果被竊取,因為是非授權人員,拿到文件也打不開,如此即可確保資訊不外 洩;其次,文件管理軟體還要做到時間管理,能自動管制閱讀時限,時間到了,即 使文件沒有歸還,持有人也打不開,這樣才不會讓機密文件流落在外。 聽完司馬特老師的說明,小潘對通訊安全又有了一番認識,無線通訊本來即具 有一定程度的危安風險,但是未來又不可能不使用它,因此必須先建立相當的風險 管理機制,才能降低各項危安事件發生的機率。這次的師生下午茶約會,就在華燈 初上伴隨咖啡香中步入尾聲,劃下完美的句點。

(自清流月刊 103 年 6 月號)

  • 市府分類: 宣導活動
  • 發布日期: 2018-02-06
  • 點閱次數: 88