之前与各位读者讨论信息安全风险保险的核保条件,都是与设备及技术相关,其后有人问我,是否只要吩咐我的IT部门按程序,就可以处理信息安全事故的问题?
老实说,这是远远不够的。坊间往往认为,信息安全只是IT部门的事情,但这个想法却是完全错误!
信息安全并不是电脑安全,而是如何安全保护“信息”。机器坏了可以换,但数据资料毁坏了可能回不来。就像你的智能手机,坏了可换一个新的;但电话内的照片、联络人资料及信息,一旦失去随时无法复原,所以最有价值。
故与信息相关的一切,都是我们这些信息安全专家会考虑的事项。然而有个“东西”无法透过升级、更新、更换操作系统就能解决问题,那个东西就是“人”。很多时候,有意无意将信息泄漏出去的,都是人为问题。
所以我们评估信息系统的风险时,也包含营运环境内所有部门的员工,观察他们的安全意识是否足够。不管你有多好的IT部门,大笔开支购买强大而昂贵的器材,只要其中一个员工或使用者缺乏安全意识,整个系统就有机会出现危机。
所以我们不会只是针对IT部门,也会同时针对会处理敏感讯息的部门,评估员工的信息安全意识水平。
我们有一套方法,针对信息安全意识培训和怎样管理人员。例如聘请员工时,公司有否为雇员进行犯罪背景调查、详细列明其职权及责任、解说公司的信息安全守则、员工有否签署保密协议?在职期间,有否恒常提供年度信息安全意识培训、能力评估,以及违反守则的惩罚制度?员工离职时,如何妥善处理员工所处理的敏感资料及交接问题?
所谓“知兵之将”,减少信息安全问题,除了“工欲善其事,必先利其器”,拥有充足的保安措施及购买“信息安全风险保险”降低事故损失外,更重要的是公司、处理信息的员工及使用者,都对信息安全有充足了解,避免人为失误导致资料外泄或损毁,企业才有更深入保障。