白白流失等��,嚴(yán)重影響企業(yè)競爭力的信息安全事件��。
面對內(nèi)地制造業(yè)來勢洶洶�,新產(chǎn)品研發(fā)已成為臺(tái)灣制造業(yè)之命脈�,除了當(dāng)局大力推動(dòng)建立中國臺(tái)灣為亞太研發(fā)中凡政策之外,臺(tái)積電�����、廣達(dá)等高科技領(lǐng)導(dǎo)企業(yè)同時(shí)大幅擴(kuò)充研發(fā)部門規(guī)模,研發(fā)預(yù)算不斷創(chuàng)新高����。然而長期以來研發(fā)作業(yè)卻是臺(tái)灣企業(yè)管理上比較脆弱的一環(huán),不但欠缺陷有效的安全管理機(jī)制���,意外事件更是頻傳�。如在這之前才發(fā)生的某高科技公司研發(fā)泄密案���,某電子公司研發(fā)人員被挖角�,還有前年東科大火燒掉多家科技公司多年寶貴資料等���,不但沖擊整體營運(yùn)�,削弱企業(yè)競爭力����,還會(huì)賠上公司形象,影響代工廠與國外ODM大廠的合作關(guān)系���,如果連企業(yè)本身命脈的研發(fā)數(shù)據(jù)都暴露在外來威脅下�,如何能合理保障ODM大廠的技術(shù)信息能獲得妥善保護(hù),所以在大力強(qiáng)調(diào)提升研發(fā)能力時(shí)���,研發(fā)作業(yè)信息安全是臺(tái)灣企業(yè)必須面對的問題����。
傳統(tǒng)內(nèi)部控制與風(fēng)險(xiǎn)管理及信息安全的關(guān)系
傳統(tǒng)內(nèi)部控制主要是從維護(hù)資產(chǎn)安全�����,確保財(cái)務(wù)報(bào)道允當(dāng)表達(dá)及遵守相關(guān)法令規(guī)章這三個(gè)角度�,對流程中各個(gè)作業(yè)設(shè)計(jì)實(shí)行控制,而且在設(shè)計(jì)控制措施時(shí)��,主要考慮控制措施執(zhí)行的成本���,比較少討論控制措施是否足以協(xié)助企業(yè)將風(fēng)險(xiǎn)降到可接受水平���。
風(fēng)險(xiǎn)管理則是以風(fēng)險(xiǎn)為主要控制目標(biāo),強(qiáng)調(diào)現(xiàn)行內(nèi)控制度須能有效將風(fēng)險(xiǎn)降低到可接受水平以下�����,否則就必須增加控制措施,因而對于面臨復(fù)雜經(jīng)營環(huán)境及挑戰(zhàn)的企業(yè)而言���,風(fēng)險(xiǎn)管理比較能找出所有潛在風(fēng)險(xiǎn),并依據(jù)企業(yè)策略目標(biāo)及發(fā)展方向���,排定優(yōu)先級(jí)��,建立適當(dāng)管理機(jī)制��,交重要的風(fēng)險(xiǎn)項(xiàng)目降低到可接受水平以下�,減累意外事件對企業(yè)的傷害�����。
信息安全則是將重點(diǎn)放在信息資產(chǎn)的保護(hù)��,信息安全可以協(xié)助企業(yè)找出信息資產(chǎn)面臨的風(fēng)險(xiǎn)��,排定優(yōu)先級(jí)之后�,設(shè)計(jì)適當(dāng)控制措施予以保護(hù)。
研發(fā)風(fēng)險(xiǎn)與信息安全
前面研發(fā)作業(yè)內(nèi)部控制中已說明“企業(yè)整體風(fēng)險(xiǎn)管理(Enterprise Wide Risk Management)”的意義與內(nèi)涵���,就風(fēng)險(xiǎn)管理而言��,企業(yè)必須找出所有可能造成獲利目標(biāo)無法達(dá)成的不確定因素�����,也就是風(fēng)險(xiǎn)項(xiàng)目��,并予以適當(dāng)管理�����,與過去相比�����,在全球化日益復(fù)雜的競爭環(huán)境中����,中國臺(tái)灣企業(yè)面臨更多挑戰(zhàn),更多不確定性以及更多風(fēng)險(xiǎn)�,因而,對于以開發(fā)新產(chǎn)品為主要獲利及發(fā)展策略的臺(tái)灣制造業(yè)而言���,控制并降低研發(fā)信息風(fēng)險(xiǎn)是策略管理的一項(xiàng)重點(diǎn)�����。
信息本身就是一種資產(chǎn)�����,特別是研發(fā)數(shù)據(jù)/信息�,對企業(yè)而言�����,是價(jià)值非常高����、非常重要的資產(chǎn),例如某家以燈飾為主要產(chǎn)品的公司�����,其電新的藝術(shù)燈飾設(shè)計(jì)圖��,就是該公司最重要的資產(chǎn)���,一旦設(shè)計(jì)圖落到競爭對手手中���,很可能在此項(xiàng)新藝術(shù)燈飾上市之前����,競爭對手就已模仿其設(shè)計(jì)概念�����,推出類似產(chǎn)品�,這將對該公司銷售收入及市占率造成嚴(yán)重打擊。
困此��,從信息安全角度來看��,所謂風(fēng)險(xiǎn)(Risk)���,是指企業(yè)因?yàn)樵馐転?zāi)難�����、意外事件���、惡意保護(hù)措施,本身十分脆弱(稱之為資產(chǎn)有弱點(diǎn))���,而且面臨外部威脅��,可能危害該項(xiàng)資產(chǎn)��,信息安全風(fēng)險(xiǎn)就是指某些特定威脅���,不論是來自公司內(nèi)部或外部����,利用信息資產(chǎn)本身的弱點(diǎn)�����,對資產(chǎn)造成損害的可能性�����。
當(dāng)信息資產(chǎn)面臨風(fēng)險(xiǎn)時(shí)����,企業(yè)可能采取兩種應(yīng)對態(tài)度�,一是“甘冒風(fēng)險(xiǎn)”也就是不管它,不對資產(chǎn)采取任何保護(hù)措施��,任由風(fēng)險(xiǎn)存在�,另一是采取適當(dāng)措施來保護(hù)資產(chǎn)�,將所承受的風(fēng)險(xiǎn)降低到管理者可接受的范圍之內(nèi)��。
信息安全管理觀念
在對研發(fā)信息資產(chǎn)面臨的風(fēng)險(xiǎn)有了初步概念后�����,我們進(jìn)一點(diǎn)說明信息安全的觀念及管理架構(gòu)����,信息安全的標(biāo)的是信息資產(chǎn),而信息資產(chǎn)則是企業(yè)價(jià)值的代表����,獲利來源,企業(yè)有很多的資產(chǎn)��,包含有形的廠商設(shè)備及無形的知識(shí)產(chǎn)權(quán)等���,每一項(xiàng)資產(chǎn)對企業(yè)的價(jià)值及重要性皆不同�����,資產(chǎn)遭到破壞時(shí)����,對企業(yè)的沖擊程序也不一,資產(chǎn)對于企業(yè)營去與獲利愈重要����,其價(jià)值就愈高,
項(xiàng)目經(jīng)理勝任力免費(fèi)測評PMQ上線啦��!快來測測你排多少名吧~
http://opto-elec.com.cn/pmqhd/index.html
