建構資安防線，先釐清管理問題

近年資安事件層出不窮。遠東銀行與第一銀行分別出現資安防線疏漏，駭客入侵後個別險些被盜領八千萬及18億元。對組織而言，忽視資安將面臨很大的風險。問題出在哪裡？在我看來，最關鍵的是，組織在談資訊安全防護時，經常忽略使用者的需求與環境脈絡所致。讓我們從兩個案例來看當前企業在採用資訊安全服務時，所遇到的問題：

案例1〉善意資安服務反成困擾

有一家台灣知名的A銀行，除了台灣在美國洛杉磯、香港、歐洲倫敦等地，都有分支機構。A銀行除了有數百人的資訊管理團隊，還委託資訊安全服務廠商，協助排除電腦系統中毒等資安狀況。

有一次，A銀行在桃園的分行因為行員電腦中毒擴散到整個分行系統，導致分行業務癱瘓。網管人員馬上進行分隔控管，資訊安全服務廠商也立即派了資訊工程師到現場，儘管知道系統是被僵屍病毒入侵，但花費了三天，系統仍無法恢復正常。因為不耐時間流逝造成龐大業務中斷損失，A銀行資訊長決定以重灌系統解決，並對服務商有許多怨言。

他除了抱怨花錢請的資安服務商缺乏銀行專業，延宕搶救時間，還質疑服務商平常提供的電腦病毒警訊通告，增加銀行日常營運困擾。因為銀行只要一接到通報，除了分行人員和客戶都會緊張之外，更嚴重的是，金融監理...