白白流失等�����,嚴重影響企業(yè)競爭力的信息安全事件���。
面對內(nèi)地制造業(yè)來勢洶洶,新產(chǎn)品研發(fā)已成為臺灣制造業(yè)之命脈����,除了當局大力推動建立中國臺灣為亞太研發(fā)中凡政策之外,臺積電����、廣達等高科技領(lǐng)導企業(yè)同時大幅擴充研發(fā)部門規(guī)模,研發(fā)預算不斷創(chuàng)新高���。然而長期以來研發(fā)作業(yè)卻是臺灣企業(yè)管理上比較脆弱的一環(huán)���,不但欠缺陷有效的安全管理機制��,意外事件更是頻傳��。如在這之前才發(fā)生的某高科技公司研發(fā)泄密案���,某電子公司研發(fā)人員被挖角,還有前年東科大火燒掉多家科技公司多年寶貴資料等����,不但沖擊整體營運,削弱企業(yè)競爭力�,還會賠上公司形象,影響代工廠與國外ODM大廠的合作關(guān)系�,如果連企業(yè)本身命脈的研發(fā)數(shù)據(jù)都暴露在外來威脅下,如何能合理保障ODM大廠的技術(shù)信息能獲得妥善保護�,所以在大力強調(diào)提升研發(fā)能力時,研發(fā)作業(yè)信息安全是臺灣企業(yè)必須面對的問題���。
傳統(tǒng)內(nèi)部控制與風險管理及信息安全的關(guān)系
傳統(tǒng)內(nèi)部控制主要是從維護資產(chǎn)安全����,確保財務報道允當表達及遵守相關(guān)法令規(guī)章這三個角度����,對流程中各個作業(yè)設(shè)計實行控制�,而且在設(shè)計控制措施時����,主要考慮控制措施執(zhí)行的成本,比較少討論控制措施是否足以協(xié)助企業(yè)將風險降到可接受水平�����。
風險管理則是以風險為主要控制目標�����,強調(diào)現(xiàn)行內(nèi)控制度須能有效將風險降低到可接受水平以下����,否則就必須增加控制措施���,因而對于面臨復雜經(jīng)營環(huán)境及挑戰(zhàn)的企業(yè)而言����,風險管理比較能找出所有潛在風險�����,并依據(jù)企業(yè)策略目標及發(fā)展方向,排定優(yōu)先級���,建立適當管理機制���,交重要的風險項目降低到可接受水平以下,減累意外事件對企業(yè)的傷害��。
信息安全則是將重點放在信息資產(chǎn)的保護�����,信息安全可以協(xié)助企業(yè)找出信息資產(chǎn)面臨的風險��,排定優(yōu)先級之后�,設(shè)計適當控制措施予以保護。
研發(fā)風險與信息安全
前面研發(fā)作業(yè)內(nèi)部控制中已說明“企業(yè)整體風險管理(Enterprise Wide Risk Management)”的意義與內(nèi)涵���,就風險管理而言����,企業(yè)必須找出所有可能造成獲利目標無法達成的不確定因素��,也就是風險項目,并予以適當管理���,與過去相比�,在全球化日益復雜的競爭環(huán)境中�,中國臺灣企業(yè)面臨更多挑戰(zhàn),更多不確定性以及更多風險��,因而���,對于以開發(fā)新產(chǎn)品為主要獲利及發(fā)展策略的臺灣制造業(yè)而言�����,控制并降低研發(fā)信息風險是策略管理的一項重點��。
信息本身就是一種資產(chǎn),特別是研發(fā)數(shù)據(jù)/信息���,對企業(yè)而言�,是價值非常高�、非常重要的資產(chǎn),例如某家以燈飾為主要產(chǎn)品的公司��,其電新的藝術(shù)燈飾設(shè)計圖�����,就是該公司最重要的資產(chǎn),一旦設(shè)計圖落到競爭對手手中��,很可能在此項新藝術(shù)燈飾上市之前����,競爭對手就已模仿其設(shè)計概念,推出類似產(chǎn)品�,這將對該公司銷售收入及市占率造成嚴重打擊。
困此���,從信息安全角度來看�����,所謂風險(Risk)���,是指企業(yè)因為遭受災難、意外事件���、惡意保護措施���,本身十分脆弱(稱之為資產(chǎn)有弱點)��,而且面臨外部威脅�����,可能危害該項資產(chǎn)����,信息安全風險就是指某些特定威脅�,不論是來自公司內(nèi)部或外部,利用信息資產(chǎn)本身的弱點��,對資產(chǎn)造成損害的可能性���。
當信息資產(chǎn)面臨風險時�����,企業(yè)可能采取兩種應對態(tài)度,一是“甘冒風險”也就是不管它��,不對資產(chǎn)采取任何保護措施����,任由風險存在�,另一是采取適當措施來保護資產(chǎn)��,將所承受的風險降低到管理者可接受的范圍之內(nèi)�����。
信息安全管理觀念
在對研發(fā)信息資產(chǎn)面臨的風險有了初步概念后��,我們進一點說明信息安全的觀念及管理架構(gòu)��,信息安全的標的是信息資產(chǎn)��,而信息資產(chǎn)則是企業(yè)價值的代表����,獲利來源,企業(yè)有很多的資產(chǎn)����,包含有形的廠商設(shè)備及無形的知識產(chǎn)權(quán)等,每一項資產(chǎn)對企業(yè)的價值及重要性皆不同��,資產(chǎn)遭到破壞時�����,對企業(yè)的沖擊程序也不一,資產(chǎn)對于企業(yè)營去與獲利愈重要�,其價值就愈高,
項目經(jīng)理勝任力免費測評PMQ上線啦�����!快來測測你排多少名吧~
http://www.vanceur.cn/pmqhd/index.html
