白白流失等,严重影响企业竞争力的信息安全事件。
面对内地制造业来势汹汹,新产品研发已成为台湾制造业之命脉,除了当局大力推动建立中国台湾为亚太研发中凡政策之外,台积电、广达等高科技领导企业同时大幅扩充研发部门规模,研发预算不断创新高。然而长期以来研发作业却是台湾企业管理上比较脆弱的一环,不但欠缺陷有效的安全管理机制,意外事件更是频传。如在这之前才发生的某高科技公司研发泄密案,某电子公司研发人员被挖角,还有前年东科大火烧掉多家科技公司多年宝贵资料等,不但冲击整体营运,削弱企业竞争力,还会赔上公司形象,影响代工厂与国外ODM大厂的合作关系,如果连企业本身命脉的研发数据都暴露在外来威胁下,如何能合理保障ODM大厂的技术信息能获得妥善保护,所以在大力强调提升研发能力时,研发作业信息安全是台湾企业必须面对的问题。
传统内部控制与风险管理及信息安全的关系
传统内部控制主要是从维护资产安全,确保财务报道允当表达及遵守相关法令规章这三个角度,对流程中各个作业设计实行控制,而且在设计控制措施时,主要考虑控制措施执行的成本,比较少讨论控制措施是否足以协助企业将风险降到可接受水平。
风险管理则是以风险为主要控制目标,强调现行内控制度须能有效将风险降低到可接受水平以下,否则就必须增加控制措施,因而对于面临复杂经营环境及挑战的企业而言,风险管理比较能找出所有潜在风险,并依据企业策略目标及发展方向,排定优先级,建立适当管理机制,交重要的风险项目降低到可接受水平以下,减累意外事件对企业的伤害。
信息安全则是将重点放在信息资产的保护,信息安全可以协助企业找出信息资产面临的风险,排定优先级之后,设计适当控制措施予以保护。
研发风险与信息安全
前面研发作业内部控制中已说明“企业整体风险管理(Enterprise Wide Risk Management)”的意义与内涵,就风险管理而言,企业必须找出所有可能造成获利目标无法达成的不确定因素,也就是风险项目,并予以适当管理,与过去相比,在全球化日益复杂的竞争环境中,中国台湾企业面临更多挑战,更多不确定性以及更多风险,因而,对于以开发新产品为主要获利及发展策略的台湾制造业而言,控制并降低研发信息风险是策略管理的一项重点。
信息本身就是一种资产,特别是研发数据/信息,对企业而言,是价值非常高、非常重要的资产,例如某家以灯饰为主要产品的公司,其电新的艺术灯饰设计图,就是该公司最重要的资产,一旦设计图落到竞争对手手中,很可能在此项新艺术灯饰上市之前,竞争对手就已模仿其设计概念,推出类似产品,这将对该公司销售收入及市占率造成严重打击。
困此,从信息安全角度来看,所谓风险(Risk),是指企业因为遭受灾难、意外事件、恶意保护措施,本身十分脆弱(称之为资产有弱点),而且面临外部威胁,可能危害该项资产,信息安全风险就是指某些特定威胁,不论是来自公司内部或外部,利用信息资产本身的弱点,对资产造成损害的可能性。
当信息资产面临风险时,企业可能采取两种应对态度,一是“甘冒风险”也就是不管它,不对资产采取任何保护措施,任由风险存在,另一是采取适当措施来保护资产,将所承受的风险降低到管理者可接受的范围之内。
信息安全管理观念
在对研发信息资产面临的风险有了初步概念后,我们进一点说明信息安全的观念及管理架构,信息安全的标的是信息资产,而信息资产则是企业价值的代表,获利来源,企业有很多的资产,包含有形的厂商设备及无形的知识产权等,每一项资产对企业的价值及重要性皆不同,资产遭到破坏时,对企业的冲击程序也不一,资产对于企业营去与获利愈重要,其价值就愈高,
项目经理胜任力免费测评PMQ上线啦!快来测测你排多少名吧~
http://www.leadge.com/pmqhd/index.html
