信息安全管理

管理营销资源中心M&MResourcesCenterhttp://www.mmrc.net/信息安全管理作者：JimMcCrory,DanielLohmeyer,SofyaPogreb来源：《麦肯锡高层管理论丛》2002.2信息安全的维护，不再只是IT部门的职责，与营运和科技也息息相关骇客、计算机病毒和挟怨报复的员工攻击企业信息系统的事件层出不穷，让企业不得不花费大笔金钱以作因应。据报，美国企业去年共发生五万三千件系统遭侵入事件，比2000年增加了150%。诚然，因考量事件曝光可能影响形象而秘而不宣的企业所在多有，因此实际数字高出许多，据估正式通报的系统侵入事件仅占真实数字的三分之一。信息安全虽一向被视为IT部门的职责所在，但也有公司开始体认到这个问题事实上与营运和科技均有关联。今年我们针对财星500大企业在信息防护方面堪称最佳典范的公司进行研究，特别是其中新近指派资深业务主管负责信息安全事务的30家公司（根据Gartner2001年4月的估计，全球2000大企业(Global2000)中一半以上的公司在2004年前都会设置类似的职位）。已有不少财星500大企业开始着手在保护企业信息安全的现行措施中，加入策略、营运和组织面的安全防护考量。技术部门经理人已坦承，今日的信息科技无法保证网络绝无遭渗透之虞，而在骇客不断的挑衅下，新的安全防护技术生命周期也越来越短，但是，大部分企业仍将信息安全视为只有技术性解决方案才能解决的技术性问题。企业将维护信息安全的责任完全交给技术人员的同时，也忽略了一些只有业务部门经理人才能解决的基本问题。举例而言，公司各种信息资产的价值不尽相同，有些资产也许需要投注较多的心力维护。Egghead.com是一家网络零售商，2000年12月因其客户资料系统遭骇客破坏，造成370万组信用卡号外流，股票价值因而下挫了25%。Egghead这家公司事前当然建置了安全防护系统，事后并宣称资料并未被窃，但由于公司内部缺乏协调，未能提出一致的响应，因而无法说服客户和股东相信这些极为敏感的资料仍安全无虞。在我们的