在朋友那里看到一份由“财团法人资讯工业策进会资讯市场情报中心”2006年4月发布的《台湾大型企业资讯安全应用调查分析》,里面提到:

值得关注的事,逾两成大型企业表示,实际造成资安事件损害源自内部比例在80%以上,显见内部威胁已不容忽视,企业在内部资安管控措施与使用者资安防护意识上仍待强化。 虽然一直以来,我们都能听到很多媒体报章上写着“内部威胁更胜于黑客攻击”,但实际上企业在IT安全方面的花费,绝大部份还是用于“防外”的,例如防火墙、IDS等等。大型企业已经日渐意识到内部安全防范的重要性,这绝对是件好事,用户是带动铁卷产品成熟的最好方式。

企业资安除仰赖咨讯部门采购相关资安产品外,针对整体企业组织的资安管理政策、程序或制度的落实益发重要。综观台湾大型企业在资安管理政策的概况,普遍皆 已完成相关资安政策的拟定。不论是资料存取控制、灾难回复计划、人员安全与管理制度、紧急应变程序等,完成度皆有六成以上的水准。

以往做评估的时候就发现一个特点:很多企业中,信息安全的情况通常是管理制度齐备,执行不力。制度齐备,说明企业已经有了做安全的意愿,并开始从管理上着 手厘清这些事情,但为什么会执行不力呢?往往是因为企业并非信息安全的专业人士,缺乏足够的技术手段来“监控”技术的运行。举个最简单的例子:我们在管理 制度中常常能看到“禁止设置薄弱密码”的要求,但在实际工作中,如果员工这么设了,我们怎么检查?是否有成熟的方法,是否也形成标准的流程了?