信息化打造核心能力
隨著信息與網(wǎng)絡(luò)科技發(fā)展���,在臺(tái)灣大小小公司里�,計(jì)算機(jī)相關(guān)設(shè)備與應(yīng)用軟件已經(jīng)很普遍,雖然信息科技的運(yùn)用不過(guò)二十多年歷史���,但是對(duì)臺(tái)灣企業(yè)而言���,E化已經(jīng)是一個(gè)完全不一樣的概念�。
早其臺(tái)灣企業(yè)使用信息系統(tǒng)��,主要是以電子化取代人工操作�����,提高工作效率����,例如以應(yīng)用于軟件管理倉(cāng)庫(kù)的進(jìn)出貨、處理訂單及客戶數(shù)據(jù)��、日常會(huì)計(jì)核算及產(chǎn)生報(bào)表���、處理員工人請(qǐng)假作業(yè)及代替發(fā)放薪資等����,都是很普遍的例子�����。
隨著全球化發(fā)展����,中國(guó)臺(tái)灣不少國(guó)際化企業(yè)在客戶關(guān)系管理,新產(chǎn)品開發(fā)��,與全球運(yùn)籌管理等領(lǐng)域彼此激烈競(jìng)爭(zhēng)����,新經(jīng)濟(jì)時(shí)代,信息科技的運(yùn)用已不限于支持企業(yè)日常作業(yè)之需求�����,逐漸成為競(jìng)爭(zhēng)與發(fā)展的策略核心���。1990年代末期廣達(dá)�、英業(yè)達(dá)等電子大廠商紛紛導(dǎo)入SAP系統(tǒng)�����,為的是與美ODM大廠的信息系統(tǒng)聯(lián)結(jié)�,通過(guò)電子化方式完成訂單的接受、制造�、采購(gòu)以及出貨等作業(yè),強(qiáng)化雙方合作關(guān)系��;SAP變成與ODM大廠建立長(zhǎng)期伙伴關(guān)系的重要門檻,某電子大廠信息長(zhǎng)說(shuō):“戴爾人來(lái)中國(guó)臺(tái)灣挑選代工廠商時(shí)���,只要聽(tīng)到我們用的是SAP系統(tǒng)��,其他問(wèn)題就不問(wèn)了����,因?yàn)樗麄兒芮宄?��,以SAP處理的訂單交易是無(wú)法做假的����?��!?br>
這幾年來(lái)臺(tái)積電穩(wěn)坐全球晶圓代工龍頭寶座��,主要?dú)w功于“虛擬晶圓廠”策略成功�,依據(jù)董事長(zhǎng)張忠謀先生的說(shuō)法�����,所謂“虛擬晶圓廠”就是客戶可以把臺(tái)積電的晶圓廠當(dāng)成他們自己的晶圓廠一樣����,甚至比他們自己的還要好�,也就是說(shuō)�����,在客戶眼中�����,臺(tái)積電晶圓廠在機(jī)密維護(hù)和信息取得上就如同自己的廠一般��。
然而“虛擬晶圓廠”策略之所以能夠落實(shí)�����,最主要還是靠信息科技的協(xié)助�,對(duì)IC設(shè)計(jì)公司而言����,最關(guān)切的莫過(guò)于所設(shè)計(jì)的芯片,為了滿足IC設(shè)計(jì)公司對(duì)芯片制造質(zhì)量信息的實(shí)時(shí)需求�����,臺(tái)積電先將內(nèi)部制造與產(chǎn)品檢驗(yàn)的系統(tǒng)整合完畢,再通過(guò)網(wǎng)絡(luò)技術(shù)讓IC設(shè)計(jì)公司隨時(shí)可透過(guò)網(wǎng)絡(luò)查詢代工芯片進(jìn)度以及優(yōu)良品率��,瑕疵等數(shù)據(jù)�����,回饋信息的速度甚至比IC設(shè)計(jì)公司自己的工廠還要快還要好���。
研發(fā)信息不安全���,危害企業(yè)競(jìng)爭(zhēng)
水能載舟亦能覆舟,信處系統(tǒng)功能雖然強(qiáng)大���,本身弱點(diǎn)及不可控制因素也很多��,以雅虎網(wǎng)站為例�,其搜尋功能早已是從多網(wǎng)友愛(ài)用的工具����,卻也是全球網(wǎng)絡(luò)黑客最喜歡攻擊的對(duì)象,根據(jù)世界各地這幾年發(fā)生的信息安全事件����,企業(yè)在營(yíng)運(yùn)及策略上對(duì)信息科技的依賴愈深�,信息安全事件對(duì)企業(yè)造成的傷害也愈大�����,中國(guó)臺(tái)灣某家知名科技公司在大幅擴(kuò)張期間�,與國(guó)外設(shè)備供貨商以電子化方式處理采購(gòu)下單以及設(shè)備入倉(cāng)及領(lǐng)用作業(yè),但是由于該科技公司所導(dǎo)入的ERP系統(tǒng)安全控管機(jī)制不足�����,與供貨商對(duì)賬時(shí)才發(fā)現(xiàn)兩邊系統(tǒng)對(duì)于已完成訂單以及設(shè)備領(lǐng)用記錄有誤差�����,誤差金額高達(dá)20臺(tái)幣�����,而且找不到原因�,一時(shí)之間雙方關(guān)系一度緊張��。
以臺(tái)積電“虛擬晶圓廠”為例�,可隨時(shí)從網(wǎng)絡(luò)上查詢芯片代工制造相關(guān)信息,對(duì)IC設(shè)計(jì)公司而言固然很方便��,但也很具威脅性,如果有人運(yùn)用網(wǎng)絡(luò)黑客技術(shù)�,竊取IC設(shè)計(jì)公司查詢的數(shù)據(jù),馬上就會(huì)引發(fā)機(jī)密數(shù)據(jù)外泄的問(wèn)題��,同時(shí)影響臺(tái)積電與客戶的合作關(guān)系以及IC設(shè)計(jì)公司的競(jìng)爭(zhēng)力�����。
除了信息與網(wǎng)絡(luò)系統(tǒng)本身的安全性之外���,研發(fā)數(shù)據(jù)的保護(hù)不周也會(huì)嚴(yán)重沖擊企業(yè)競(jìng)爭(zhēng)力�����,臺(tái)灣制造業(yè)與代工業(yè)之所以能維持獲利��,是因?yàn)楸雀?jìng)爭(zhēng)者早幾個(gè)月將取得價(jià)格優(yōu)勢(shì)�����。所以對(duì)競(jìng)爭(zhēng)者而言����,制造業(yè)的研發(fā)數(shù)據(jù)具有極高價(jià)值����,絕非其他營(yíng)去信息可比擬���,況且研發(fā)資料可以直接使用,一旦被競(jìng)爭(zhēng)對(duì)手取得���,立即可以制造出類似產(chǎn)品����,或是吸收其中智能來(lái)改善既有產(chǎn)品�����,想想過(guò)去中國(guó)臺(tái)灣就是以這種超強(qiáng)的模仿能力擊敗其他國(guó)家�����,因而研發(fā)信息資產(chǎn)��,企業(yè)如果缺乏適當(dāng)安全管理機(jī)制��,很容易發(fā)生知識(shí)財(cái)產(chǎn)遭盜用�、核心研發(fā)資料外泄����、資深研發(fā)人員被挖角��、研發(fā)數(shù)據(jù)損毀滅失�����、未經(jīng)許可修改造成設(shè)計(jì)錯(cuò)誤�、寶貴研發(fā)知識(shí)白白流失等�,嚴(yán)重影響企業(yè)競(jìng)爭(zhēng)力的信息安全事件。
面對(duì)內(nèi)地制造業(yè)來(lái)勢(shì)洶洶�����,新產(chǎn)品研發(fā)已成為臺(tái)灣制造業(yè)之命脈�����,除了當(dāng)局大力推動(dòng)建立中國(guó)臺(tái)灣為亞太研發(fā)中凡政策之外����,臺(tái)積電、廣達(dá)等高科技領(lǐng)導(dǎo)企業(yè)同時(shí)大幅擴(kuò)充研發(fā)部門規(guī)模�����,研發(fā)預(yù)算不斷創(chuàng)新高。然而長(zhǎng)期以來(lái)研發(fā)作業(yè)卻是臺(tái)灣企業(yè)管理上比較脆弱的一環(huán)�����,不但欠缺陷有效的安全管理機(jī)制����,意外事件更是頻傳。如在這之前才發(fā)生的某高科技公司研發(fā)泄密案��,某電子公司研發(fā)人員被挖角��,還有前年?yáng)|科大火燒掉多家科技公司多年寶貴資料等�����,不但沖擊整體營(yíng)運(yùn)����,削弱企業(yè)競(jìng)爭(zhēng)力�����,還會(huì)賠上公司形象���,影響代工廠與國(guó)外ODM大廠的合作關(guān)系��,如果連企業(yè)本身命脈的研發(fā)數(shù)據(jù)都暴露在外來(lái)威脅下�,如何能合理保障ODM大廠的技術(shù)信息能獲得妥善保護(hù),所以在大力強(qiáng)調(diào)提升研發(fā)能力時(shí)���,研發(fā)作業(yè)信息安全是臺(tái)灣企業(yè)必須面對(duì)的問(wèn)題����。
傳統(tǒng)內(nèi)部控制與風(fēng)險(xiǎn)管理及信息安全的關(guān)系
傳統(tǒng)內(nèi)部控制主要是從維護(hù)資產(chǎn)安全���,確保財(cái)務(wù)報(bào)道允當(dāng)表達(dá)及遵守相關(guān)法令規(guī)章這三個(gè)角度��,對(duì)流程中各個(gè)作業(yè)設(shè)計(jì)實(shí)行控制����,而且在設(shè)計(jì)控制措施時(shí)����,主要考慮控制措施執(zhí)行的成本,比較少討論控制措施是否足以協(xié)助企業(yè)將風(fēng)險(xiǎn)降到可接受水平���。
風(fēng)險(xiǎn)管理則是以風(fēng)險(xiǎn)為主要控制目標(biāo)��,強(qiáng)調(diào)現(xiàn)行內(nèi)控制度須能有效將風(fēng)險(xiǎn)降低到可接受水平以下����,否則就必須增加控制措施,因而對(duì)于面臨復(fù)雜經(jīng)營(yíng)環(huán)境及挑戰(zhàn)的企業(yè)而言��,風(fēng)險(xiǎn)管理比較能找出所有潛在風(fēng)險(xiǎn)�,并依據(jù)企業(yè)策略目標(biāo)及發(fā)展方向,排定優(yōu)先級(jí)���,建立適當(dāng)管理機(jī)制�����,交重要的風(fēng)險(xiǎn)項(xiàng)目降低到可接受水平以下���,減累意外事件對(duì)企業(yè)的傷害。
信息安全則是將重點(diǎn)放在信息資產(chǎn)的保護(hù)�,信息安全可以協(xié)助企業(yè)找出信息資產(chǎn)面臨的風(fēng)險(xiǎn),排定優(yōu)先級(jí)之后����,設(shè)計(jì)適當(dāng)控制措施予以保護(hù)。
研發(fā)風(fēng)險(xiǎn)與信息安全
前面研發(fā)作業(yè)內(nèi)部控制中已說(shuō)明“企業(yè)整體風(fēng)險(xiǎn)管理(Enterprise Wide Risk Management)”的意義與內(nèi)涵��,就風(fēng)險(xiǎn)管理而言��,企業(yè)必須找出所有可能造成獲利目標(biāo)無(wú)法達(dá)成的不確定因素��,也就是風(fēng)險(xiǎn)項(xiàng)目���,并予以適當(dāng)管理����,與過(guò)去相比���,在全球化日益復(fù)雜的競(jìng)爭(zhēng)環(huán)境中��,中國(guó)臺(tái)灣企業(yè)面臨更多挑戰(zhàn)����,更多不確定性以及更多風(fēng)險(xiǎn)����,因而,對(duì)于以開發(fā)新產(chǎn)品為主要獲利及發(fā)展策略的臺(tái)灣制造業(yè)而言���,控制并降低研發(fā)信息風(fēng)險(xiǎn)是策略管理的一項(xiàng)重點(diǎn)�。
信息本身就是一種資產(chǎn),特別是研發(fā)數(shù)據(jù)/信息���,對(duì)企業(yè)而言��,是價(jià)值非常高�、非常重要的資產(chǎn)�����,例如某家以燈飾為主要產(chǎn)品的公司���,其電新的藝術(shù)燈飾設(shè)計(jì)圖���,就是該公司最重要的資產(chǎn),一旦設(shè)計(jì)圖落到競(jìng)爭(zhēng)對(duì)手手中�����,很可能在此項(xiàng)新藝術(shù)燈飾上市之前���,競(jìng)爭(zhēng)對(duì)手就已模仿其設(shè)計(jì)概念��,推出類似產(chǎn)品���,這將對(duì)該公司銷售收入及市占率造成嚴(yán)重打擊。
困此�,從信息安全角度來(lái)看,所謂風(fēng)險(xiǎn)(Risk)��,是指企業(yè)因?yàn)樵馐転?zāi)難�、意外事件、惡意保護(hù)措施��,本身十分脆弱(稱之為資產(chǎn)有弱點(diǎn))���,而且面臨外部威脅��,可能危害該項(xiàng)資產(chǎn)�����,信息安全風(fēng)險(xiǎn)就是指某些特定威脅��,不論是來(lái)自公司內(nèi)部或外部�����,利用信息資產(chǎn)本身的弱點(diǎn)�,對(duì)資產(chǎn)造成損害的可能性。
當(dāng)信息資產(chǎn)面臨風(fēng)險(xiǎn)時(shí)���,企業(yè)可能采取兩種應(yīng)對(duì)態(tài)度����,一是“甘冒風(fēng)險(xiǎn)”也就是不管它���,不對(duì)資產(chǎn)采取任何保護(hù)措施���,任由風(fēng)險(xiǎn)存在,另一是采取適當(dāng)措施來(lái)保護(hù)資產(chǎn)����,將所承受的風(fēng)險(xiǎn)降低到管理者可接受的范圍之內(nèi)。
信息安全管理觀念
在對(duì)研發(fā)信息資產(chǎn)面臨的風(fēng)險(xiǎn)有了初步概念后�����,我們進(jìn)一點(diǎn)說(shuō)明信息安全的觀念及管理架構(gòu)�����,信息安全的標(biāo)的是信息資產(chǎn),而信息資產(chǎn)則是企業(yè)價(jià)值的代表���,獲利來(lái)源�,企業(yè)有很多的資產(chǎn)���,包含有形的廠商設(shè)備及無(wú)形的知識(shí)產(chǎn)權(quán)等,每一項(xiàng)資產(chǎn)對(duì)企業(yè)的價(jià)值及重要性皆不同��,資產(chǎn)遭到破壞時(shí)�,對(duì)企業(yè)的沖擊程序也不一,資產(chǎn)對(duì)于企業(yè)營(yíng)去與獲利愈重要�����,其價(jià)值就愈高�����,遭到破壞時(shí)對(duì)企業(yè)造成的損失也就愈大,風(fēng)險(xiǎn)也就愈��,愈需要適當(dāng)?shù)墓芾頇C(jī)制來(lái)保障資產(chǎn)安全。
除了資產(chǎn)價(jià)值外���,另外兩個(gè)會(huì)增加風(fēng)險(xiǎn)的因素����,資產(chǎn)本身的弱點(diǎn)以及所面臨的威脅,一般資產(chǎn)本身都有弱點(diǎn)��,只是脆弱的形式及程序不同����,就有形資產(chǎn)而言�,例如廠房設(shè)備�����、現(xiàn)金、重要文件���、計(jì)算機(jī)設(shè)備�����,除了本身可能遭竊外��,實(shí)體就是弱點(diǎn)���,而火災(zāi)、水災(zāi)��、惡意破壞就是威脅���,無(wú)形資產(chǎn)雖然沒(méi)有實(shí)體,還是會(huì)有弱點(diǎn)及威脅����,例如機(jī)密信息或數(shù)據(jù)雖然沒(méi)有實(shí)體�,但是信息可能外泄或被競(jìng)爭(zhēng)對(duì)手得知����,電子數(shù)據(jù)可能遭到不當(dāng)刪除或損毀而滅失�。
整體而言�,資產(chǎn)價(jià)值愈高,對(duì)企業(yè)就愈重要�����,而資產(chǎn)本身愈脆弱�����、面臨的威脅愈強(qiáng)大,受到破壞的可能性就愈高�,匯合起來(lái)企業(yè)承愛(ài)的風(fēng)險(xiǎn)就愈大,因而企業(yè)必須針對(duì)重大風(fēng)險(xiǎn)項(xiàng)目���,指出安全需求���,并設(shè)計(jì)適當(dāng)控制措施���,以保護(hù)資產(chǎn)弱點(diǎn),減少資產(chǎn)面臨威脅��,進(jìn)而將風(fēng)險(xiǎn)降到可接受水平以下�,減輕企業(yè)因?yàn)橐馔馐录膿p失。
【?發(fā)表評(píng)論?0條?】