台灣「資安外洩」往往是公司高層造成！專家：人資的資安不是科技，而是人性

「人，才是一切的關鍵，」安永管理顧問總經理萬幼筠說。雖然資訊安全的控管需要技術，但真正掌握機密的還是人。「人資的資安不是科技，而是人性。」

綜合多方面的報告和採訪，人資長可以從以下幾方面開始著手加強資安工作。

人資長可以做的資安措施

首先，建立有層次的人員和資訊分層管理。先釐清哪些資訊是公司的核心機密，哪些人需要這些資訊來完成工作。針對關鍵的資訊，除了有工作上的必要，不然就不該有使用權。若是核心機密資訊，例如關鍵產品參數、研發計畫，甚至關鍵人才的人事資料，每一次的取用還應該要有紀錄。

「這個分析應該基於業務需求，按照need-to-know-basis（需要知道原則）而不是職務層級，」萬幼筠提醒。「台灣很多公司，都是越高層掌握的資訊越全面，結果資安外洩常常都是高層舞弊。」

在做這項人員和資訊分析的時候，可能需要考量整體公司的營運系統和資訊流程，有些時候掌握最全面、最機密的部門，可能在你最想不到的地方。

萬幼筠有一次去一家科技公司做資安系統分析，發現這家公司的研發部門管理得相當嚴密，團隊之間不能有任何資訊交流，分層管理也做得密不通風。但資安破口來自一個串連這幾個研發團隊的一個不起眼的小後勤單位，因為工作需求掌握了所有研發單位的歷年規劃和產品規格。

第二，建立員工對於資訊安全的觀念和資訊安全的文化。因為資安風險很大一部分來自人為疏失，通過員工培訓增加資安素養為當務之急。這個培訓，包括如何辨識和預防最常見的社交工程攻擊如釣魚郵件、若是發生資安事件的通報和處理流程，以及若是洩漏關鍵資訊可能要承擔的法律責任等。

萬幼筠曾經去參訪過一家相當重視資安的公司，進到公司前除了手機、智慧手錶等通訊設備必須交由前台保管，帶進的手提電腦所有連結和外接插座還必須用膠帶封存，人員要過安全檢查，還必須觀看由創辦人講解的資安教育影片。曾經有一次一位客人因為忘了繳交一個迷你USB而造成警鈴大響，該公司接待這個客人的部門當年的分紅直接砍半。

(責任編輯 / 王穎皓)